Uma ameaça cibernética anteriormente não documentada apelidada Suricato confuso foi observado realizando atividades sofisticadas de sistemas de nomes de domínio (DNS) em um provável esforço para escapar das medidas de segurança e realizar o reconhecimento de redes em todo o mundo desde outubro de 2019.
A empresa de segurança em nuvem Infoblox descreveu o ator da ameaça como provavelmente afiliado à República Fashionable da China (RPC) com a capacidade de controlar o Grande Firewall (GFW), que censura o acesso a websites estrangeiros e manipula o tráfego da Web de e para o país.
O apelido é uma referência à natureza “desconcertante” de suas operações e ao abuso de resolvedores abertos de DNS por parte do ator – que são servidores DNS que aceitam consultas recursivas de todos os endereços IP – para enviar as consultas do espaço IP chinês.
“O Muddling Meerkat demonstra uma compreensão sofisticada do DNS que é incomum entre os atores de ameaças hoje – apontando claramente que o DNS é uma arma poderosa aproveitada pelos adversários”, disse a empresa em um relatório compartilhado com o The Hacker Information.
Mais especificamente, implica acionar consultas DNS para troca de correio (MX) e outros tipos de registro para domínios que não pertencem ao ator, mas que residem em domínios de nível superior bem conhecidos, como .com e .org.
A Infoblox disse que detectou mais de 20 desses domínios –
4u(.)com, kb(.)com, oao(.)com, od(.)com, boxi(.)com, zc(.)com, s8(.)com, f4(.)com, b6(.)com, p3z(.)com, ob(.)com, eg(.)com, kok(.)com, gogo(.)com, aoa(.)com, gogo(.)com, zbo6(.)com, id(.)com, mv(.)com, nef(.)com, ntl(.)com, television(.)com, 7ee(.)com, gb(.)com, tunk(.)org, q29(.)org, ni(.)com, tt(.)com, pr(.)com, dec(.)com
Muitos desses websites são domínios antigos registrados antes de 2000, permitindo assim que o adversário se misture com outro tráfego DNS e passe despercebido, evitando listas de bloqueio de DNS.
Também são observados esforços para usar servidores no espaço de endereços IP chinês para fazer consultas DNS para subdomínios aleatórios para endereços IP em todo o mundo como parte de
Sabe-se que o GFW depende do que é chamado de falsificação e adulteração de DNS para injetar respostas DNS falsas contendo endereços IP reais aleatórios quando uma solicitação corresponde a uma palavra-chave banida ou a um domínio bloqueado.
Em outras palavras, quando um usuário tenta pesquisar uma palavra-chave ou frase bloqueada, o GFW bloqueia ou redireciona a consulta do website de uma forma que impedirá o usuário de acessar as informações solicitadas. Isto pode ser conseguido através do envenenamento do cache DNS ou do bloqueio de endereços IP.
Isso também significa que se o GFW detectar uma consulta a um website bloqueado, a ferramenta sofisticada injeta uma resposta DNS falsa com um endereço IP inválido ou um endereço IP para um domínio diferente, corrompendo efetivamente o cache dos servidores DNS recursivos localizados dentro de suas fronteiras. .
“A característica mais notável do Muddling Meerkat é a presença de respostas falsas de registros MX de endereços IP chineses”, disse a Dra. Renée Burton, vice-presidente de inteligência de ameaças da Infoblox. “Esse comportamento (…) difere do comportamento padrão do GFW.”
“Essas resoluções são provenientes de endereços IP chineses que não hospedam serviços DNS e contêm respostas falsas, consistentes com o GFW. No entanto, ao contrário do comportamento conhecido do GFW, as respostas do Muddling Meerkat MX incluem não endereços IPv4, mas registros de recursos MX devidamente formatados. .”
A motivação exacta por detrás da actividade plurianual não é clara, embora tenha levantado a possibilidade de que possa ser realizada como parte de um esforço de mapeamento na Web ou de algum tipo de investigação.
