Aan China gelinkte 'Muddling Meerkat' kaapt DNS om internet op wereldschaal in kaart te brengen

Een voorheen ongedocumenteerde cyberdreiging genaamd Modderende Meerkat Sinds oktober 2019 wordt waargenomen dat er geavanceerde DNS-activiteiten (domeinnaamsystemen) worden uitgevoerd in een waarschijnlijke poging om beveiligingsmaatregelen te omzeilen en netwerken over de hele wereld te verkennen.

Cloudbeveiligingsbedrijf Infoblox beschreef de bedreigingsacteur als waarschijnlijk verbonden met de Volksrepubliek China (VRC) met de mogelijkheid om de Grote Firewall (GFW) te controleren, die de toegang tot buitenlandse websites censureert en internetverkeer van en naar het land manipuleert.

De naam verwijst naar de ‘verbijsterende’ aard van hun activiteiten en het misbruik door de acteur van DNS open-resolvers – DNS-servers die recursieve vragen van alle IP-adressen accepteren – om de vragen vanuit de Chinese IP-ruimte te verzenden.

“Muddling Meerkat demonstreert een geavanceerd begrip van DNS dat tegenwoordig ongebruikelijk is onder bedreigingsactoren – en wijst er duidelijk op dat DNS een krachtig wapen is dat door tegenstanders wordt gebruikt”, aldus het bedrijf in een rapport gedeeld met The Hacker News.

Cyberbeveiliging

Meer specifiek houdt het in dat DNS-query's voor mailuitwisseling (MX) en andere recordtypen worden geactiveerd naar domeinen die geen eigendom zijn van de actor, maar die zich onder bekende topniveaudomeinen bevinden, zoals .com en .org.

Infoblox zei dat het meer dan 20 van dergelijke domeinen heeft gedetecteerd –

4u[.]com, kb[.]com, oa[.]com, od[.]com, boxi[.]com, zc[.]com, s8[.]com, f4[.]com, b6[.]com, p3z[.]com, ob[.]com, bijv[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, zbo6[.]com, idd[.]com, mv[.]com, nef[.]com, ntl[.]com, televisie[.]com, 7ee[.]com, gb[.]com, tuk[.]org, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com

Veel van deze websites zijn verouderde domeinen die vóór 2000 zijn geregistreerd, waardoor de tegenstander zich kan mengen in ander DNS-verkeer en onder de radar kan blijven door DNS-blokkeerlijsten te omzeilen.

Kaapt DNS

Ook worden pogingen waargenomen om servers in de Chinese IP-adresruimte te gebruiken om DNS-query's voor willekeurige subdomeinen naar IP-adressen over de hele wereld uit te voeren als onderdeel van

Het is bekend dat de GFW afhankelijk is van zogenaamde DNS-spoofing en -manipulatie om valse DNS-reacties te injecteren die willekeurige echte IP-adressen bevatten wanneer een verzoek overeenkomt met een verboden trefwoord of een geblokkeerd domein.

Met andere woorden: wanneer een gebruiker probeert te zoeken naar een geblokkeerd trefwoord of zinsnede, blokkeert of stuurt de GFW de zoekopdracht op de website zodanig om dat de gebruiker geen toegang krijgt tot de gevraagde informatie. Dit kan worden bereikt via DNS-cachevergiftiging of IP-adresblokkering.

Cyberbeveiliging

Dit betekent ook dat als de GFW een zoekopdracht naar een geblokkeerde website detecteert, de geavanceerde tool een nep DNS-antwoord injecteert met een ongeldig IP-adres, of een IP-adres naar een ander domein, waardoor de cache van recursieve DNS-servers die zich binnen de grenzen bevinden effectief wordt beschadigd. .

“Het meest opmerkelijke kenmerk van Muddling Meerkat is de aanwezigheid van valse MX-recordreacties van Chinese IP-adressen”, zegt Dr. Renée Burton, vice-president van bedreigingsinformatie voor Infoblox. “Dit gedrag […] verschilt van het standaardgedrag van de GFW.”

“Deze resoluties zijn afkomstig van Chinese IP-adressen die geen DNS-services hosten en valse antwoorden bevatten, in overeenstemming met de GFW. In tegenstelling tot het bekende gedrag van de GFW bevatten de Muddling Meerkat MX-reacties echter geen IPv4-adressen, maar correct opgemaakte MX-bronrecords. .”

De exacte motivatie achter de meerjarige activiteit is onduidelijk, hoewel het de mogelijkheid opriep dat deze zou kunnen worden ondernomen als onderdeel van een internetkarteringsinspanning of een soort onderzoek.

Thijs Van der Does