Verwirrendes Meerkat APT
Eine bislang unbekannte Cyberbedrohung mit dem Namen „Muddling Meerkat“ ist aufgetaucht und betreibt seit Oktober 2019 anspruchsvolle DNS-Aktivitäten (Domain Name System). Die Malware umgeht wahrscheinlich Sicherheitsmaßnahmen und sammelt Informationen aus globalen Netzwerken.
Die Forscher gehen davon aus, dass die Bedrohung mit der Volksrepublik China (VRC) in Verbindung steht und vermuten, dass der Akteur die Kontrolle über die Great Firewall (GFW) hat, die zur Zensur ausländischer Websites und zur Manipulation des Internetverkehrs eingesetzt wird.
Der Name der Hackergruppe spiegelt die komplexe und verwirrende Natur ihrer Operationen wider, einschließlich des Missbrauchs offener DNS-Resolver (Server, die Anfragen von beliebigen IP-Adressen akzeptieren), um Anfragen von chinesischen IP-Adressen zu senden.
Inhaltsverzeichnis
Cyberkriminelle weisen im Vergleich zu anderen Hackergruppen ungewöhnliche Merkmale auf
Muddling Meerkat zeigt ein tiefgreifendes Verständnis von DNS, das bei Bedrohungsakteuren heute ungewöhnlich ist – und macht deutlich, dass DNS eine mächtige Waffe ist, die von Gegnern eingesetzt wird. Genauer gesagt geht es darum, DNS-Abfragen für Mail Exchange (MX) und andere Datensatztypen an Domänen auszulösen, die dem Akteur nicht gehören, sich aber unter bekannten Top-Level-Domänen wie .com und .org befinden.
Forscher, die die Anfragen aufgezeichnet haben, die von Kundengeräten an die rekursiven Resolver gesendet wurden, gaben an, dass über 20 solcher Domänen entdeckt wurden. Einige Beispiele:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[.]com, ob[.]com, eg[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.]com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat entlockt der Great Firewall einen speziellen, noch nie dagewesenen gefälschten DNS-MX-Eintrag. Dazu muss Muddling Meerkat eine Beziehung zu den Betreibern der GFW haben. Die Zieldomänen sind die in den Abfragen verwendeten Domänen, sie sind also nicht unbedingt das Ziel eines Angriffs. Es ist die Domäne, die zur Durchführung des Probeangriffs verwendet wird. Diese Domänen gehören nicht Muddling Meerkat.
Wie funktioniert die Große Firewall von China?
Die Great Firewall (GFW) verwendet DNS-Spoofing und Manipulationstechniken, um DNS-Antworten zu manipulieren. Wenn die Anfrage eines Benutzers mit einem verbotenen Schlüsselwort oder einer verbotenen Domäne übereinstimmt, fügt die GFW gefälschte DNS-Antworten ein, die zufällige echte IP-Adressen enthalten.
Einfacher ausgedrückt: Wenn ein Benutzer versucht, auf ein blockiertes Schlüsselwort oder eine blockierte Domäne zuzugreifen, greift die GFW ein, um den Zugriff zu verhindern, indem sie die Abfrage entweder blockiert oder umleitet. Diese Störung wird durch Methoden wie DNS-Cache-Poisoning oder IP-Adressblockierung erreicht.
Bei diesem Vorgang erkennt die GFW Anfragen an blockierte Websites und antwortet mit gefälschten DNS-Antworten, die ungültige IP-Adressen oder IPs enthalten, die zu anderen Domänen führen. Diese Aktion stört effektiv den Cache rekursiver DNS-Server in ihrem Zuständigkeitsbereich.
Bei „The Muddling Meerkat“ handelt es sich wahrscheinlich um einen chinesischen Bedrohungsakteur
Das herausragende Merkmal von Muddling Meerkat ist die Verwendung falscher MX-Eintragsantworten, die von chinesischen IP-Adressen stammen, eine Abweichung vom typischen Verhalten der Great Firewall (GFW).
Diese Antworten stammen von chinesischen IP-Adressen, die normalerweise keine DNS-Dienste hosten, und enthalten im Einklang mit den Praktiken von GFW ungenaue Informationen. Im Gegensatz zu den bekannten Methoden von GFW enthalten die Antworten von Muddling Meerkat jedoch korrekt formatierte MX-Ressourceneinträge anstelle von IPv4-Adressen.
Der genaue Zweck dieser über mehrere Jahre andauernden Aktivität bleibt unklar, deutet jedoch auf eine mögliche Beteiligung an Internet-Mapping oder verwandter Forschung hin.
Die Malware Muddling Meerkat, die einem chinesischen staatlichen Akteur zugeschrieben wird, führt fast täglich gezielte und hochentwickelte DNS-Operationen gegen globale Netzwerke durch, wobei sich das gesamte Ausmaß ihrer Aktivitäten auf verschiedene Standorte erstreckt.
Das Verstehen und Erkennen von Malware ist einfacher als das Erfassen von DNS-Aktivitäten. Forscher erkennen zwar, dass etwas passiert, können es aber nicht vollständig verstehen. CISA, das FBI und andere Behörden warnen weiterhin vor unentdeckten chinesischen Operationen.
