Um operador de ameaças originário da China, recentemente identificado, tem feito varreduras em redes DNS mundialmente por vários anos, enviando um volume expressivo de consultas via resolvedores DNS abertos (servidores responsáveis pela conversão de nomes de domínio em endereços IP), conforme reportado pela empresa de segurança de rede Infoblox.
Identificado como Muddling Meerkat e com supostas ligações com o governo chinês, esse hacker parece ter controle sobre o Grande Firewall (GFW) da China, o sistema adotado por Pequim para censura e manipulação do fluxo de internet que entra e sai do país.
Desde outubro de 2019, o Muddling Meerkat atua de maneira semelhante aos ataques conhecidos como Slow Drip — ou ataques de prefixo aleatório —, que basicamente são ataques de negação de serviço distribuído (DDoS).
No entanto, o objetivo do hacker parece ir além do simples DNS DDoSing, e sua motivação ainda é um mistério.
Com habilidades para driblar as defesas de rede e se manter não detectado, o Muddling Meerkat poderia estar se preparando para ataques cibernéticos futuros, seguindo o padrão da gangue de hackers Volt Typhoon que comprometeu infraestruturas críticas de TI, conforme alerta emitido pelos EUA no início deste ano.
As ações do Muddling Meerkat, segundo a Infoblox, são complexas, visto que o agente pode manipular registros MX do servidor de correio DNS mediante respostas falsas injetadas através do GFW.
Observou-se também o uso de IPs chineses para realizar consultas DNS em subdomínios aleatórios para endereços IP globalmente.
Notoriamente, o uso dessas respostas falsas nos registros MX de IPs chineses, incluindo registros de recursos MX formatados corretamente, destaca-se do comportamento padrão do GFW.
O GFW da China tem a prática de injetar respostas falsas em consultas DNS, em vez de modificar as respostas DNS, com o intuito de envenenar o cache DNS do solicitante.
“Os registros de resposta MX do Muddling Meerkat somente são observáveis em dados obtidos fora do processo usual de resolução DNS, pois a fonte dessas respostas não provém de um resolvedor DNS, e sim de um endereço IP chinês aleatório”, relata a Infoblox.
Os registros MX com nomes de hosts aleatórios foram identificados inicialmente em outubro de 2019, porém o volume de resoluções MX começou a aumentar significativamente em setembro de 2023 e continuou crescendo este ano.
Ao longo dos anos, a Infoblox monitorou as respostas dos registros MX provenientes de IPs chineses em domínios alvos do Muddling Meerkat, sugerindo uma conexão entre o operador da ameaça e os administradores do GFW.
Foi descoberto que as operações são realizadas em etapas.
Recomenda-se aos administradores de rede identificar e eliminar resolvedores abertos em suas redes, utilizar apenas domínios confiáveis para pesquisas de Active Directory ou DNS, implementar detecção e resposta de DNS (DNSDR) e analisar os indicadores de atividade compartilhados, que não necessariamente indicam um comprometimento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...