Um recém-descoberto operador de ameaças chinês vem realizando varredura em redes DNS em todo o mundo há anos, enviando um grande número de consultas por meio de resolvedores DNS abertos (servidores que convertem nomes de domínio em endereços IP), de acordo com a empresa de segurança de rede Infoblox. Apelidado de Muddling Meerkat e suspeito de ligação com o governo chinês, o hacker pode controlar o Grande Firewall (GFW) da China, o sistema nacional usado por Pequim para censurar e manipular o tráfego da internet que entra e sai do país.
Ativo desde outubro de 2019, o Muddling Meerkat é semelhante aos ataques Slow Drip — também conhecidos como prefixo aleatório —, que são essencialmente ataques distribuídos de negação de serviço (DDoS). O objetivo do hacker não parece ser o DNS DDoSing e sua motivação permanece obscuro.
Com a capacidade de escapar às defesas da rede e permanecer oculto, o Muddling Meerkat pode estar pré-posicionado para possíveis ataques cibernéticos, semelhantes ao da gangue de hackers Volt Typhoon que está violando infraestruturas críticas de TI, conforme alertaram os EUA no início deste ano.
As operações do Muddling Meerkat, diz a Infoblox, são complexas, pois o operador da ameaça pode manipular registros do servidor de correio DNS (MX) usando respostas falsas injetadas através do GFW, e foi observado usando IPs chineses para fazer consultas DNS para subdomínios aleatórios para endereços IP em todo o mundo. O que chama atenção no Muddling Meerkat é o uso de respostas falsas de registros MX de endereços IP chineses, que incluem registros de recursos MX formatados corretamente e, em geral, são diferentes do comportamento padrão do GFW. O GFW da China é conhecido por injetar respostas falsas a consultas DNS, em vez de alterar diretamente as respostas DNS, para envenenar o cache DNS do solicitante.
Veja isso
Hackers chineses são suspeitos de ter invadido rede da Volkswagen
Chineses usam bug no FortiGate para violar rede militar holandesa
“Os registros de resposta MX para Muddling Meerkat só são observáveis em dados coletados fora da cadeia normal de resolução de DNS porque a fonte da resposta não é um resolvedor de DNS, mas sim um endereço IP chinês aleatório”, observa Infoblox.
Os registros MX contendo nomes de host aleatórios foram vistos pela primeira vez em outubro de 2019, mas o número de resoluções MX começou a aumentar em setembro de 2023 e neste ano.
Durante anos, a Infoblox rastreou respostas de registros MX de endereços IP chineses em domínios alvo do Muddling Meerkat, o que sugere uma conexão entre o operador da ameaça e os operadores do GFW, e descobriu que as operações são realizadas em etapas. Os administradores de rede são aconselhados a identificar e eliminar resolvedores abertos em suas redes, usar apenas domínios confiáveis para pesquisa de Active Directory ou DNS, implementar detecção e resposta de DNS (DNSDR) e revisar os indicadores compartilhados de atividade— eles não sugerem necessariamente comprometimento).
Acesse o relatório completo da Infoblox sobre o Muddling Meerkat (em inglês) clicando aqui.
