De Chinese acteur SecShow voert grootschalige DNS-onderzoeken uit op wereldschaal

Cybersecurity-onderzoekers hebben meer licht geworpen op een Chinese acteur met de codenaam SecShow, die sinds ten minste juni 2023 op wereldschaal een Domain Name System (DNS) uitvoert.

Volgens beveiligingsonderzoekers Dr. Renée Burton en Dave Mitchell van Infoblox opereert de tegenstander vanuit het China Education and Research Network (CERNET), een project gefinancierd door de Chinese overheid.

“Deze sondes proberen DNS-reacties bij open solvers te vinden en te meten”, zeiden ze in een vorige week gepubliceerd rapport. “Het einddoel van de SecShow-operaties is onbekend, maar de informatie die wordt verzameld kan worden gebruikt voor kwaadaardige activiteiten en is alleen in het voordeel van de actor.”

Dat gezegd hebbende, zijn er aanwijzingen dat het mogelijk verband houdt met een soort academisch onderzoek met betrekking tot “het uitvoeren van metingen met behulp van IP-adresspoofingtechnieken op domeinen binnen secshow.net” met behulp van dezelfde techniek als het Closed Resolver Project.

Dit roept echter meer vragen op dan het beantwoordt – ook als het gaat om de volledige reikwijdte van het project, het doel achter het verzamelen van de gegevens, de keuze voor een algemeen Gmail-adres om feedback te verzamelen, en het algehele gebrek aan transparantie.

Open solvers verwijzen naar DNS-servers die in staat zijn domeinnamen recursief te accepteren en op te lossen voor elke partij op het internet, waardoor ze rijp worden voor uitbuiting door slechte actoren om gedistribueerde denial-of-service (DDoS)-aanvallen zoals een DNS-amplificatieaanval te initiëren.

De kern van de onderzoeken is het gebruik van CERNET-naamservers om open DNS-resolvers te identificeren en DNS-reacties te berekenen. Dit houdt in dat een DNS-query van een nog onbepaalde oorsprong naar een open solver wordt gestuurd, waardoor de door SecShow bestuurde naamserver een willekeurig IP-adres retourneert.

In een interessante wending zijn deze naamservers zo geconfigureerd dat ze elke keer dat de zoekopdracht wordt gedaan vanuit een andere open solver een nieuw willekeurig IP-adres retourneren, een gedrag dat een versterking van het aantal zoekopdrachten door het Palo Alto Cortex Xpanse-product teweegbrengt.

“Cortex Xpanse behandelt de domeinnaam in de DNS-query als een URL en probeert inhoud op te halen van het willekeurige IP-adres voor die domeinnaam”, leggen de onderzoekers uit. “Firewalls, waaronder Palo Alto en Check Point, evenals andere beveiligingsapparaten, voeren URL-filtering uit wanneer ze het verzoek van Cortex Xpanse ontvangen.”

Deze filterstap initieert een nieuwe DNS-query voor het domein die ervoor zorgt dat de naamserver een ander willekeurig IP-adres retourneert.

Het is belangrijk op te merken dat sommige aspecten van deze scanactiviteiten de afgelopen twee maanden eerder zijn onthuld door onderzoekers van Dataplane.org en Unit 42. De SecShow-naamservers reageren vanaf medio mei 2024 niet meer.

SecShow is na Muddling Meerkat de tweede aan China gelieerde bedreigingsacteur die grootschalige DNS-onderzoeksactiviteiten op internet uitvoert.

“Muddelende Meerkat-query's zijn ontworpen om zich te mengen in het wereldwijde DNS-verkeer en zijn al meer dan vier jaar onopgemerkt gebleven, terwijl Secshow-query's transparante coderingen zijn van IP-adressen en meetinformatie”, aldus de onderzoekers.

Rebirth Botnet biedt DDoS-services

De ontwikkeling komt nadat een financieel gemotiveerde bedreigingsacteur is gevonden die reclame maakt voor een nieuwe botnetservice genaamd Rebirth om DDoS-aanvallen te helpen faciliteren.

Het DDoS-as-a-Service (DaaS) botnet is “gebaseerd op de Mirai-malwarefamilie, en de operators adverteren zijn diensten via Telegram en een online winkel (rebirthltd.mysellix(.)io)”, aldus het Sysdig Threat Research Team. in een recente analyse.

Het cyberbeveiligingsbedrijf zei dat Rebirth (ook bekend als Vulcan) zich in de eerste plaats richt op de videogamegemeenschap en het botnet tegen verschillende prijzen aan andere actoren verhuurt om gameservers te targeten voor financieel gewin. Het eerste bewijs van het gebruik van het botnet in het wild dateert uit 2019.

Het goedkoopste abonnement, genaamd Rebirth Basic, kost $15, terwijl de Premium-, Advanced- en Diamond-niveaus respectievelijk $47, $55 en $73 kosten. Er is ook een Rebirth API ACCESS-abonnement dat voor $ 53 wordt verkocht.

De Rebirth-malware ondersteunt functionaliteit om DDoS-aanvallen uit te voeren via TCP- en UDP-protocollen, zoals TCP ACK flood, TCP SYN flood en UDP flood.

Dit is niet de eerste keer dat gameservers het doelwit zijn van DDoS-botnets. In december 2022 maakte Microsoft details bekend van een ander botnet genaamd MCCrash dat is ontworpen om zich te richten op privé Minecraft-servers.

Vervolgens gaf Akamai in mei 2023 details over een DDoS-for-hire-botnet, bekend als Dark Frost, waarvan is waargenomen dat het DDoS-aanvallen lanceert op gamingbedrijven, gameserverhostingproviders, online streamers en zelfs andere leden van de gaminggemeenschap.

“Met een botnet zoals Rebirth kan een individu de gameserver of andere spelers in een live game DDoS'en, waardoor games haperen en vertragen of de verbindingen van andere spelers vertragen of crashen”, aldus Sysdig.

“Dit kan financieel gemotiveerd zijn voor gebruikers van streamingdiensten zoals Twitch, wier bedrijfsmodel afhankelijk is van het feit dat een streamingspeler volgers krijgt; dit levert in wezen een vorm van inkomen op door het genereren van inkomsten met een kapotte game.”

Het in Californië gevestigde bedrijf stelde dat potentiële klanten van Rebirth het ook zouden kunnen gebruiken om DDoS-trollen (ook wel stresser-trollen genoemd) uit te voeren, waarbij aanvallen worden gelanceerd op gamingservers om de ervaring voor legitieme spelers te verstoren.

Aanvalsketens die de malware verspreiden, maken gebruik van bekende beveiligingsfouten (bijvoorbeeld CVE-2023-25717) om een ​​bash-script in te zetten dat zorgt voor het downloaden en uitvoeren van de DDoS-botnet-malware, afhankelijk van de processorarchitectuur.

Het Telegram-kanaal dat aan Rebirth is gekoppeld, is sindsdien gewist om alle oude berichten te verwijderen, met een bericht gepost op 30 mei 2024 met de tekst “Binnenkort zijn we terug (sic).” Bijna drie uur later maakten ze reclame voor een kogelvrije hostingservice genaamd “bulletproof-hosting(.)xyz.”

Thijs Van der Does