Suricate confus APT
Une cybermenace non divulguée nommée Muddling Meerkat est apparue, se livrant à des activités sophistiquées de système de noms de domaine (DNS) depuis octobre 2019. Elle est susceptible d'éviter les mesures de sécurité et de recueillir des renseignements sur les réseaux mondiaux.
Les chercheurs pensent que la menace est liée à la République populaire de Chine (RPC) et soupçonnent l'acteur de contrôler le Grand Pare-feu (GFW), utilisé pour censurer les sites Web étrangers et manipuler le trafic Internet.
Le nom du groupe de hackers reflète la nature complexe et déroutante de leurs opérations, notamment l'utilisation abusive des résolveurs DNS ouverts (des serveurs qui acceptent les requêtes provenant de n'importe quelle adresse IP) pour envoyer des requêtes à partir d'adresses IP chinoises.
Table des matières
Les cybercriminels affichent des caractéristiques inhabituelles par rapport aux autres groupes de pirates informatiques
Muddling Meerkat démontre une compréhension sophistiquée du DNS qui est rare parmi les acteurs de la menace aujourd'hui – soulignant clairement que le DNS est une arme puissante utilisée par les adversaires. Plus précisément, cela implique de déclencher des requêtes DNS pour l'échange de courrier (MX) et d'autres types d'enregistrements vers des domaines n'appartenant pas à l'acteur mais qui résident sous des domaines de premier niveau bien connus tels que .com et .org.
Les chercheurs qui ont enregistré les requêtes envoyées à ses résolveurs récursifs par les appareils des clients ont déclaré avoir détecté plus de 20 domaines de ce type, avec quelques exemples :
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, par exemple[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, déc[.]com
Le Muddling Meerkat génère un type particulier de faux enregistrement DNS MX du Grand Pare-feu, qui n'a jamais été vu auparavant. Pour que cela se produise, Muddling Meerkat doit entretenir une relation avec les opérateurs de GFW. Les domaines cibles sont les domaines utilisés dans les requêtes, ils ne sont donc pas nécessairement la cible d'une attaque. C'est le domaine utilisé pour réaliser l'attaque par sonde. Ces domaines n’appartiennent pas au Muddling Meerkat.
Comment fonctionne le grand pare-feu chinois ?
Le Grand Pare-feu (GFW) utilise des techniques d'usurpation et de falsification du DNS pour manipuler les réponses DNS. Lorsque la requête d'un utilisateur correspond à un mot-clé ou à un domaine interdit, le GFW injecte de fausses réponses DNS contenant de vraies adresses IP aléatoires.
En termes plus simples, si un utilisateur tente d'accéder à un mot-clé ou à un domaine bloqué, le GFW intervient pour empêcher l'accès en bloquant ou en redirigeant la requête. Cette interférence est obtenue grâce à des méthodes telles que l’empoisonnement du cache DNS ou le blocage d’adresse IP.
Ce processus implique que GFW détecte les requêtes sur les sites Web bloqués et réponde par de fausses réponses DNS contenant des adresses IP invalides ou des adresses IP menant à différents domaines. Cette action perturbe effectivement le cache des serveurs DNS récursifs relevant de sa juridiction.
Le suricate confus est probablement un acteur menaçant l’État-nation chinois
La caractéristique remarquable de Muddling Meerkat est son utilisation de fausses réponses d'enregistrement MX provenant d'adresses IP chinoises, ce qui s'écarte du comportement typique du Grand Pare-feu (GFW).
Ces réponses proviennent d'adresses IP chinoises qui n'hébergent généralement pas de services DNS et contiennent des informations inexactes conformes aux pratiques de GFW. Cependant, contrairement aux méthodes connues de GFW, les réponses de Muddling Meerkat incluent des enregistrements de ressources MX correctement formatés au lieu d'adresses IPv4.
L’objectif précis de cette activité en cours qui s’étend sur plusieurs années reste flou, même s’il suggère une implication potentielle dans la cartographie Internet ou dans des recherches connexes.
Le Muddling Meerkat, attribué à un acteur étatique chinois, mène presque chaque jour des opérations DNS délibérées et sophistiquées contre les réseaux mondiaux, l’ensemble de ses activités s’étendant sur divers endroits.
Comprendre et détecter les logiciels malveillants est plus simple que saisir les activités DNS. Même si les chercheurs reconnaissent que quelque chose se passe, ils n’en comprennent pas complètement la réalité. La CISA, le FBI et d’autres agences continuent de mettre en garde contre les opérations chinoises non détectées.
