'Muddling Meerkat' liên kết với Trung Quốc chiếm quyền điều khiển DNS


 Một mối đe dọa mạng không được ghi nhận trước đây có tên là Muddling Meerkat đã được quan sát thấy đang thực hiện các hoạt động hệ thống tên miền (DNS) tinh vi trong nỗ lực có khả năng trốn tránh các biện pháp bảo mật và tiến hành trinh sát các mạng trên toàn thế giới kể từ tháng 10 năm 2019.

Công ty bảo mật đám mây Infoblox mô tả tác nhân đe dọa có khả năng liên kết với Cộng hòa Nhân dân Trung Hoa (Trung Quốc) với khả năng kiểm soát Great Firewall (GFW), kiểm duyệt truy cập vào các trang web nước ngoài và thao túng lưu lượng truy cập internet đến và đi từ nước này.

Biệt danh này liên quan đến bản chất "gây hoang mang" trong hoạt động của họ và việc tác nhân lạm dụng các trình phân giải mở DNS - là các máy chủ DNS chấp nhận các truy vấn đệ quy từ tất cả các địa chỉ IP - để gửi các truy vấn từ không gian IP Trung Quốc.

"Muddling Meerkat thể hiện sự hiểu biết tinh vi về DNS không phổ biến trong số các tác nhân đe dọa ngày nay - chỉ ra rõ ràng rằng DNS là một vũ khí mạnh mẽ được tận dụng bởi các đối thủ", công ty cho biết trong một báo cáo được chia sẻ với The Hacker VN.

Cụ thể hơn, nó đòi hỏi phải kích hoạt các truy vấn DNS để trao đổi thư (MX) và các loại bản ghi khác cho các tên miền không thuộc sở hữu của tác nhân nhưng nằm dưới các tên miền cấp cao nổi tiếng như .com và .org.

Infoblox cho biết họ đã phát hiện hơn 20 tên miền như vậy -

4u[.] com, kb[.] com, oao[.] com, od[.] com, boxi[.] Com, ZC[.] com, s8[.] com, F4[.] com, B6[.] com, p3z[.] com, ob[.] com, ví dụ:[.] com, kok[.] com, gogo[.] com, aoa[.] com, gogo[.] com, zbo6[.] com, id[.] com, mv[.] com, nef[.] com, ntl[.] com, TV[.] com, 7ee[.] com, gb[.] com, tunk[.] org, Q29[.] org, ni[.] com, tt[.] com, pr [.] com, tháng mười hai[.] Com

Nhiều trang web trong số này là các tên miền siêu cũ được đăng ký trước năm 2000, do đó cho phép kẻ thù trà trộn với lưu lượng DNS khác và bay dưới radar bằng cách trốn tránh danh sách chặn DNS.

Cũng được quan sát thấy là những nỗ lực sử dụng các máy chủ trong không gian địa chỉ IP của Trung Quốc để thực hiện các truy vấn DNS cho các tên miền phụ ngẫu nhiên đến các địa chỉ IP trên toàn thế giới như một phần của

Được biết, GFW dựa vào cái gọi là giả mạo và giả mạo DNS để tiêm các phản hồi DNS giả mạo có chứa địa chỉ IP thực ngẫu nhiên khi yêu cầu khớp với từ khóa bị cấm hoặc tên miền bị chặn.

Nói cách khác, khi người dùng cố gắng tìm kiếm từ khóa hoặc cụm từ bị chặn, GFW sẽ chặn hoặc chuyển hướng truy vấn trang web theo cách sẽ ngăn người dùng truy cập thông tin được yêu cầu. Điều này có thể đạt được thông qua ngộ độc bộ nhớ cache DNS hoặc chặn địa chỉ IP.

Điều này cũng có nghĩa là nếu GFW phát hiện một truy vấn đến một trang web bị chặn, công cụ tinh vi sẽ đưa trả lời DNS không có thật với địa chỉ IP không hợp lệ hoặc địa chỉ IP đến một miền khác, làm hỏng bộ nhớ cache của các máy chủ DNS đệ quy nằm trong biên giới của nó.

Động cơ chính xác đằng sau hoạt động kéo dài nhiều năm vẫn chưa rõ ràng, mặc dù nó làm tăng khả năng nó có thể được thực hiện như một phần của nỗ lực lập bản đồ internet hoặc nghiên cứu dưới một hình thức nào đó.

Mới hơn Cũ hơn