Operación Muddling Meerkat: censura a través del Gran Firewall de China (GFW)

Se ha observado que una amenaza cibernética previamente indocumentada
denominada Muddling Meerkat realiza sofisticadas actividades de sistemas de
nombres de dominio (DNS) en un probable esfuerzo por evadir las medidas de
seguridad y realizar reconocimientos de redes en todo el mundo desde octubre
de 2019.

La firma de seguridad en la nube Infoblox describió al actor de amenazas como
probablemente afiliado a la República Popular China (RPC) con la capacidad de
controlar el Gran Cortafuegos (GFW), que censura el acceso a sitios web
extranjeros y manipula el tráfico de Internet hacia y desde el país.

El apodo hace referencia a la naturaleza “desconcertante” de sus operaciones y
al abuso que hace el actor de los resolutores abiertos de DNS (que son
servidores DNS que aceptan consultas recursivas de todas las direcciones IP)
para enviar las consultas desde el espacio IP chino.

“Muddling Meerkat demuestra una comprensión sofisticada del DNS que es poco
común entre los actores de amenazas actuales, lo que señala claramente que el
DNS es un arma poderosa aprovechada por los adversarios”, dijo la compañía.

Más específicamente, implica activar consultas DNS para intercambio de correo
(MX) y otros tipos de registros en dominios que no son propiedad del actor
pero que residen en dominios de alto nivel conocidos como .com y .org.

Infoblox, que descubrió al actor de amenazas a partir de solicitudes anómalas
de registros DNS MX que fueron enviadas a sus solucionadores recursivos por
los dispositivos de los clientes, dijo que detectó más de 20 de estos
dominios.

4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, s8[.]com,
f4[.]com, b6[ .]com, p3z[.]com, ob[.]com, por ejemplo[.]com, kok[.]com,
gogo[.]com, aoa[.]com, gogo[.]com, zbo6[.] com, id[.]com, mv[.]com,
nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, tunk[.]org, q29[.]org,
ni[.]com, tt[.]com, pr[.]com, dec[.]com

“Muddler Meerkat provoca un tipo especial de registro DNS MX falso del Gran
Cortafuegos que nunca antes se había visto”, dijo la Dra.
Renée Burton, vicepresidenta de inteligencia de amenazas de Infoblox. “Para
que esto suceda, Muddleling Meerkat debe tener una relación con los operadores
de GFW. Los dominios de destino son el dominio utilizado en las consultas, por lo que
no es necesariamente el objetivo de un ataque. Es el dominio utilizado para
llevar a cabo el ataque de sonda. Estos dominios no son propiedad de
Muddleling Meerkat”.

Se sabe que GFW se basa en lo que se llama suplantación y manipulación de DNS
para inyectar respuestas DNS falsas que contienen direcciones IP reales
aleatorias
cuando una solicitud coincide con una palabra clave prohibida o un
dominio bloqueado.

En otras palabras, cuando un usuario intenta buscar una palabra clave o frase
bloqueada
, GFW bloquea o redirige la consulta del sitio web de una manera que
impedirá que el usuario acceda a la información solicitada. Esto se puede
lograr mediante el envenenamiento de la caché de DNS o el bloqueo de
direcciones IP.

Esto también significa que si GFW detecta una consulta a un sitio web
bloqueado, la sofisticada herramienta inyecta una respuesta DNS falsa con una
dirección IP no válida o una dirección IP a un dominio diferente, corrompiendo
efectivamente el caché de los servidores DNS recursivos ubicados dentro de sus
fronteras.

“La característica más notable de Muddleling Meerkat es la presencia de
respuestas de registros MX falsas de direcciones IP chinas. Este comportamiento […] difiere del comportamiento estándar del GFW. Estas resoluciones provienen de direcciones IP chinas que no alojan servicios
DNS y contienen respuestas falsas, consistentes con el GFW. Sin embargo, a
diferencia del comportamiento conocido del GFW, las respuestas de Muddleling
Meerkat MX no incluyen direcciones IPv4 sino registros de recursos MX con el
formato adecuado”.

La motivación exacta detrás de la actividad de varios años no está clara,
aunque planteó la posibilidad de que se lleve a cabo como parte de un esfuerzo
de mapeo de Internet o de una investigación de algún tipo.

“Muddleling Meerkat es un actor-estado-nación chino que realiza operaciones
DNS deliberadas y altamente calificadas contra redes globales casi a diario, y
el alcance total de su operación no se puede ver en ningún lugar en
particular”, dijo Burton.

“El malware es más fácil que el DNS en este sentido: una vez que se localiza
el malware, es sencillo entenderlo. Aquí sabemos que algo está sucediendo,
pero no lo entendemos completamente. CISA, el FBI y otras agencias continúan
advirtiendo de operaciones de preposicionamiento chinas que no son detectadas.
Deberíamos preocuparnos por cualquier cosa que no podamos ver o comprender
completamente”.

Fuente: THN

Leave Your Comment