Suricata confusa APT
Ha surgido una amenaza cibernética no revelada llamada Muddleling Meerkat, que participa en sofisticadas actividades del sistema de nombres de dominio (DNS) desde octubre de 2019. Es probable que evite medidas de seguridad y recopile inteligencia de redes globales.
Los investigadores creen que la amenaza está vinculada a la República Popular China (RPC) y sospechan que el actor tiene control sobre el Gran Cortafuegos (GFW), que se utiliza para censurar sitios web extranjeros y manipular el tráfico de Internet.
El nombre del grupo de hackers refleja la naturaleza compleja y confusa de sus operaciones, incluido el uso indebido de los resolutores abiertos de DNS (servidores que aceptan consultas desde cualquier dirección IP) para enviar solicitudes desde direcciones IP chinas.
Tabla de contenido
Los ciberdelincuentes muestran características inusuales en comparación con otros grupos de piratas informáticos
Muddleling Meerkat demuestra una comprensión sofisticada del DNS que es poco común entre los actores de amenazas en la actualidad, lo que señala claramente que el DNS es un arma poderosa aprovechada por los adversarios. Más específicamente, implica activar consultas DNS para intercambio de correo (MX) y otros tipos de registros en dominios que no son propiedad del actor pero que residen en dominios de alto nivel conocidos como .com y .org.
Los investigadores que registraron las solicitudes enviadas a sus solucionadores recursivos por los dispositivos de los clientes dijeron que detectaron más de 20 de estos dominios, siendo algunos ejemplos:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, por ejemplo[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, diciembre[.]com
El Muddling Meerkat obtiene un tipo especial de registro DNS MX falso del Gran Cortafuegos, que nunca antes se había visto. Para que esto suceda, Muddleling Meerkat debe tener una relación con los operadores de GFW. Los dominios de destino son los dominios utilizados en las consultas, por lo que no son necesariamente el objetivo de un ataque. Es el dominio utilizado para llevar a cabo el ataque de sonda. Estos dominios no son propiedad de Muddleling Meerkat.
¿Cómo funciona el Gran Cortafuegos de China?
El Gran Cortafuegos (GFW) utiliza técnicas de suplantación y manipulación de DNS para manipular las respuestas de DNS. Cuando la solicitud de un usuario coincide con una palabra clave o dominio prohibido, GFW inyecta respuestas DNS falsas que contienen direcciones IP reales aleatorias.
En términos más simples, si un usuario intenta acceder a una palabra clave o dominio bloqueado, el GFW interviene para impedir el acceso bloqueando o redirigiendo la consulta. Esta interferencia se logra mediante métodos como el envenenamiento de la caché de DNS o el bloqueo de direcciones IP.
Este proceso implica que GFW detecte consultas a sitios web bloqueados y responda con respuestas DNS falsas que contienen direcciones IP no válidas o IP que conducen a diferentes dominios. Esta acción efectivamente interrumpe el caché de los servidores DNS recursivos dentro de su jurisdicción.
La suricata confusa es probablemente un actor que amenaza al Estado-nación chino
La característica más destacada de Muddleling Meerkat es el uso de respuestas de registros MX falsas que se originan en direcciones IP chinas, una desviación del comportamiento típico del Gran Cortafuegos (GFW).
Estas respuestas provienen de direcciones IP chinas que normalmente no alojan servicios DNS y contienen información inexacta consistente con las prácticas de GFW. Sin embargo, a diferencia de los métodos conocidos de GFW, las respuestas de Mddling Meerkat incluyen registros de recursos MX con el formato adecuado en lugar de direcciones IPv4.
El propósito preciso detrás de esta actividad en curso que abarca varios años aún no está claro, aunque sugiere una posible participación en la cartografía de Internet o investigaciones relacionadas.
El Muddling Meerkat, atribuido a un actor estatal chino, lleva a cabo operaciones DNS deliberadas y sofisticadas contra redes globales casi todos los días, y el alcance total de sus actividades abarca varios lugares.
Comprender y detectar malware es más sencillo que comprender las actividades de DNS. Si bien los investigadores reconocen que algo está sucediendo, se les escapa una comprensión completa. CISA, el FBI y otras agencias continúan advirtiendo sobre operaciones chinas no detectadas.
