Daha önce belgelenmemiş bir siber tehdit olarak adlandırılan Karışık Meerkat Ekim 2019’dan bu yana güvenlik önlemlerinden kaçınmak ve dünya çapındaki ağları keşfetmek amacıyla karmaşık alan adı sistemi (DNS) faaliyetleri yürüttüğü gözlemlendi.
Bulut güvenlik firması Infoblox, tehdit aktörünün muhtemelen Çin Halk Cumhuriyeti (PRC) ile bağlantılı olduğunu ve yabancı web sitelerine erişimi sansürleyen ve ülkeye gidiş-dönüş internet trafiğini manipüle eden Büyük Güvenlik Duvarını (GFW) kontrol etme yeteneğine sahip olduğunu açıkladı.
Bu takma ad, operasyonlarının “şaşırtıcı” doğasına ve aktörün, sorguları Çin IP alanından göndermek için tüm IP adreslerinden yinelenen sorguları kabul eden DNS sunucuları olan DNS açık çözümleyicilerini kötüye kullanmasına gönderme yapıyor.
Şirket, The Hacker News ile paylaşılan bir raporda, “Karışık Meerkat, günümüzde tehdit aktörleri arasında nadir görülen karmaşık bir DNS anlayışını ortaya koyuyor; DNS’nin, düşmanlar tarafından kullanılan güçlü bir silah olduğuna açıkça işaret ediyor.” dedi.
Daha spesifik olarak, posta değişimi (MX) ve diğer kayıt türleri için aktörün sahip olmadığı ancak .com ve .org gibi iyi bilinen üst düzey etki alanları altında bulunan etki alanlarına yönelik DNS sorgularının tetiklenmesini gerektirir.
Infoblox bu türden 20’den fazla alan tespit ettiğini söyledi.
4u[.]com, kb[.]com, oao[.]com’dan[.]boxi ile[.]Zc gibi[.]gibi, s8[.]com, f4[.]com, b6[.]com, p3z[.]ile[.]örneğin[.]com, kok[.]com, gogo[.]ile, aoa[.]com, gogo[.]com, zbo6[.]com, kimlik[.]gibi, mv[.]com, nef[.]com, ntl[.]com, televizyon[.]com, 7ee[.]com, GB[.]com, tunk[.]org, q29[.]millet, burada[.]com, tt[.]iletişim, pr[.]Aralık gibi[.]iletişim
Bu web sitelerinin çoğu, 2000’den önce tescil edilmiş süper eski alan adlarıdır, bu nedenle, saldırganın diğer DNS trafiğine karışmasına ve DNS engellenen listelerinden kaçarak radarın altından uçmasına olanak tanır.
Ayrıca, Çin IP adresi alanındaki sunucuların, dünyanın her yerindeki IP adreslerine rastgele alt alanlar için DNS sorguları yapmak amacıyla kullanılmasına yönelik çabalar da gözlemlenmiştir.
GFW’nin, bir istek yasaklı bir anahtar kelimeyle veya engellenen bir alan adıyla eşleştiğinde, rastgele gerçek IP adresleri içeren sahte DNS yanıtları enjekte etmek için DNS sahtekarlığı ve kurcalama adı verilen yönteme güvendiği biliniyor.
Başka bir deyişle, bir kullanıcı engellenen bir anahtar kelimeyi veya ifadeyi aramaya çalıştığında GFW, web sitesi sorgusunu kullanıcının istenen bilgiye erişmesini engelleyecek şekilde engeller veya yeniden yönlendirir. Bu, DNS önbellek zehirlenmesi veya IP adresi engelleme yoluyla gerçekleştirilebilir.
Bu aynı zamanda, GFW’nin engellenen bir web sitesine yönelik bir sorgu tespit etmesi durumunda, gelişmiş aracın, geçersiz bir IP adresi veya farklı bir etki alanına bir IP adresi içeren sahte bir DNS yanıtı enjekte ederek sınırları içinde bulunan yinelemeli DNS sunucularının önbelleğini etkili bir şekilde bozduğu anlamına gelir. .
Infoblox’un tehdit istihbaratından sorumlu başkan yardımcısı Dr. Renée Burton, “Muddling Meerkat’ın en dikkat çekici özelliği, Çin IP adreslerinden gelen sahte MX kaydı yanıtlarının varlığıdır” dedi. “Bu davranış […] GFW’nin standart davranışından farklıdır.”
“Bu çözümler, DNS hizmetlerini barındırmayan ve GFW ile tutarlı olarak yanlış yanıtlar içeren Çin IP adreslerinden alınmıştır. Ancak, GFW’nin bilinen davranışından farklı olarak Muddling Meerkat MX yanıtları, IPv4 adreslerini değil, bunun yerine düzgün biçimlendirilmiş MX kaynak kayıtlarını içerir. “
Çok yıllı faaliyetin ardındaki kesin motivasyon belirsiz olsa da, bunun bir internet haritalama çalışması veya bir tür araştırma kapsamında üstlenilebileceği ihtimalini artırdı.