Una amenaza cibernética previamente no documentada, llamada Muddling Meerkat, ha sido observada realizando actividades sofisticadas en el sistema de nombres de dominio (DNS) en un probable esfuerzo por evadir medidas de seguridad y llevar a cabo reconocimientos de redes en todo el mundo desde octubre de 2019.
La empresa de seguridad en la nube Infoblox describió al actor de amenazas como probablemente afiliado a la República Popular China (RPC) con la capacidad de controlar el Gran Cortafuegos (GFW), que censura el acceso a sitios web extranjeros y manipula el tráfico de Internet hacia y desde el país.
El apodo hace referencia a la naturaleza “desconcertante” de sus operaciones y al abuso del actor de resolutores DNS abiertos – que son servidores DNS que aceptan consultas recursivas de todas las direcciones IP – para enviar las consultas desde el espacio de IP chino.
“Muddling Meerkat demuestra una comprensión sofisticada del DNS que es rara entre los actores de amenazas de hoy en día – señalando claramente que el DNS es un arma poderosa utilizada por adversarios”, dijo la compañía en un informe compartido con The Hacker News.
Más específicamente, implica provocar consultas DNS para el intercambio de correo (MX) y otros tipos de registros a dominios no poseídos por el actor pero que se encuentran bajo dominios de nivel superior conocidos como .com y .org.
Infoblox dijo que detectó más de 20 de esos dominios –
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, s8[.]com, f4[.]com, b6[.]com, p3z[.]com, ob[.]com, eg[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, zbo6[.]com, id[.]com, mv[.]com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, tunk[.]org, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muchos de estos sitios web son dominios de alta antigüedad registrados antes de 2000, lo que permite al adversario mezclarse con otros tráficos de DNS y pasar desapercibido evadiendo listas de bloqueo de DNS.
También se observan esfuerzos para utilizar servidores en el espacio de direcciones IP chinas para hacer consultas DNS de subdominios aleatorios a direcciones IP en todo el mundo como parte de
Se sabe que el GFW depende de lo que se llama ataque de suplantación de DNS y manipulación para inyectar respuestas DNS falsas que contienen direcciones IP reales aleatorias cuando una solicitud coincide con una palabra clave prohibida o un dominio bloqueado.
En otras palabras, cuando un usuario intentan buscar una palabra clave o frase bloqueada, el GFW bloquea o redirige la consulta del sitio web de manera que impide al usuario acceder a la información solicitada. Esto se puede lograr mediante envenenamiento de caché DNS o bloqueo de direcciones IP.
Esto también significa que si el GFW detecta una consulta a un sitio web bloqueado, la herramienta sofisticada inyecta una respuesta DNS falsa con una dirección IP inválida, o una dirección IP a un dominio diferente, corrompiendo efectivamente la caché de servidores DNS recursivos ubicados dentro de sus fronteras.
“La característica más notable de Muddling Meerkat es la presencia de respuestas de registros MX falsos desde direcciones IP chinas”, dijo la Dra. Renée Burton, vicepresidenta de inteligencia de amenazas para Infoblox. “Este comportamiento […] difiere del comportamiento estándar del GFW.”
“Estas resoluciones provienen de direcciones IP chinas que no alojan servicios DNS y contienen respuestas falsas, consistentes con el GFW. Sin embargo, a diferencia del comportamiento conocido del GFW, las respuestas MX de Muddling Meerkat incluyen no direcciones IPv4, sino registros de recursos MX formateados correctamente.”
La motivación exacta detrás de la actividad de varios años no está clara, aunque plantea la posibilidad de que se realice como parte de un esfuerzo de cartografía de Internet o una investigación de algún tipo.