A Infoblox Inc. anunciou que seus pesquisadores de inteligência sobre ameaças, em colaboração com pesquisadores externos, descobriram “Muddling Meerkat”, um provável ator estatal da RPC com a capacidade de controlar o Grande Firewall (GFW) da China, um sistema que censura e manipula o tráfego que entra e sai da internet chinesa.
Este ator de ameaça DNS é particularmente sofisticado na sua capacidade de contornar as medidas de segurança tradicionais, uma vez que conduz operações criando grandes volumes de consultas DNS amplamente distribuídas, que são subsequentemente propagadas pela Internet por meio de resolvedores DNS abertos.
A Infoblox aproveitou seu conhecimento e acesso ao DNS para descobrir essa ameaça cibernética, pré-incidente, bloqueando seus domínios para garantir a segurança de seus clientes.
“A Infoblox Threat Intel come, dorme e respira dados de DNS. Nosso foco incansável em DNS, usando ciência de dados e IA de ponta, permitiu que nossa equipe global de caçadores de ameaças fosse a primeira a descobrir o Muddling Meerkat escondido nas sombras e a produzir inteligência crítica sobre ameaças para nossos clientes”, disse a Dra. Renée Burton, vice-presidente da Infoblox Threat Intel.
As operações complexas deste ator demonstram uma forte compreensão do DNS, enfatizando a importância de ter uma estratégia de detecção e resposta de DNS (DNSDR) em vigor para impedir ameaças sofisticadas como o Muddling Meerkat.
O apelido de “Muddling Meerkat” foi dado para descrever o ator como um animal que parece fofo, mas na realidade pode ser perigoso, vivendo em uma complexa rede de tocas subterrâneas e fora de vista. De uma perspectiva técnica, “Meerkat” faz referência ao abuso de resolvedores abertos, particularmente através do uso de registros DNS de troca de correio (MX). “Confusão” refere-se à natureza desconcertante das suas operações.
O ator da ameaça, Muddling Meerkat, tem operado secretamente desde pelo menos outubro de 2019. À primeira vista, as suas operações parecem ataques distribuídos de negação de serviço (DDoS) do Slow Drip, no entanto, é improvável que o DDoS seja o seu objetivo final. A motivação do ator é desconhecida, embora ele possa estar realizando reconhecimento ou preposicionamento para ataques futuros.
Muddling Meerkat demonstra uma compreensão sofisticada do DNS que é incomum entre os atores de ameaças hoje em dia – apontando claramente que o DNS é uma arma poderosa aproveitada pelos adversários.
A pesquisa mostra ainda que suas operações induzem as respostas do Grande Firewall, incluindo registros MX falsos do espaço de endereço IP chinês. Isto destaca uma utilização inovadora da infraestrutura nacional como parte fundamental da sua estratégia.
Além disso, ele aciona consultas DNS para MX e outros tipos de registro para domínios que não pertencem ao ator, mas que residem em domínios de nível superior conhecidos, como .com e .org. Essa tática destaca o uso de técnicas de distração e ofuscação para ocultar o real propósito pretendido.
Por fim, ele utiliza domínios muito antigos, normalmente registrados antes do ano 2000, permitindo que o ator se misture com outro tráfego DNS e evite a detecção. Isto destaca ainda mais a compreensão do agente da ameaça sobre o DNS e os controles de segurança existentes.
