El Actor Chino SecShow Lleva a Cabo una Probing DNS Masiva a Escala Global

Luis Quiles

junio 12, 2024

Ataque DDoS, Espionage Cibernético

Los investigadores en ciberseguridad han arrojado más luz sobre un actor chino con el nombre en clave SecShow, que ha sido observado llevando a cabo un sondeo del Sistema de Nombres de Dominio (DNS) a escala global desde al menos junio de 2023.

El adversario, según los investigadores de seguridad de Infoblox, la Dra. Renée Burton y Dave Mitchell, opera desde la Red de Educación e Investigación de China (CERNET), un proyecto financiado por el gobierno chino.

«Estas sondas buscan encontrar y medir las respuestas DNS en resolutores abiertos», dijeron en un informe publicado la semana pasada. «El objetivo final de las operaciones de SecShow es desconocido, pero la información recopilada puede ser utilizada para actividades maliciosas y es solo para el beneficio del actor».

Dicho esto, hay alguna evidencia que sugiere que podría estar relacionado con algún tipo de investigación académica relacionada con «realizar mediciones utilizando técnicas de suplantación de direcciones IP en dominios dentro de secshow.net» utilizando la misma técnica que el Proyecto de Resolutores Cerrados.

Esto, sin embargo, plantea más preguntas que respuestas, incluyendo el alcance completo del proyecto, el propósito detrás de la recopilación de datos, la elección de una dirección genérica de Gmail para recoger comentarios y la falta general de transparencia.

Los resolutores abiertos se refieren a servidores DNS que son capaces de aceptar y resolver nombres de dominio de manera recursiva para cualquier parte en internet, lo que los hace susceptibles a ser explotados por actores maliciosos para iniciar ataques distribuidos de denegación de servicio (DDoS), como un ataque de amplificación DNS.

En el corazón de las sondas está el uso de servidores de nombres de CERNET para identificar resolutores DNS abiertos y calcular las respuestas DNS. Esto implica enviar una consulta DNS desde un origen aún no determinado a un resolutor abierto, causando que el servidor de nombres controlado por SecShow devuelva una dirección IP aleatoria.

En un giro interesante, estos servidores de nombres están configurados para devolver una nueva dirección IP aleatoria cada vez que se realiza la consulta desde un resolutor abierto diferente, un comportamiento que desencadena una amplificación de consultas por parte del producto Palo Alto Cortex Xpanse.

«Cortex Xpanse trata el nombre de dominio en la consulta DNS como una URL e intenta recuperar contenido desde la dirección IP aleatoria para ese nombre de dominio», explicaron los investigadores. «Los cortafuegos, incluidos Palo Alto y Check Point, así como otros dispositivos de seguridad, realizan filtrado de URL cuando reciben la solicitud de Cortex Xpanse.»

Este paso de filtrado inicia una nueva consulta DNS para el dominio, lo que provoca que el servidor de nombres devuelva una dirección IP aleatoria diferente, lo que, a su vez, hace que Cortex Xpanse repita el proceso nuevamente, convirtiendo efectivamente una sola consulta de SecShow en un ciclo interminable de consultas a través de las redes.

Es importante notar que algunos aspectos de estas actividades de escaneo fueron previamente revelados por Dataplane.org y los investigadores de Unit 42 en los últimos dos meses. Los servidores de nombres de SecShow dejaron de responder a mediados de mayo de 2024.

«En este momento, hay poco o ningún impacto conocido en las redes de los clientes debido a que Xpanse funciona como se esperaba, más allá de un aumento mínimo en la actividad de resolución DNS para determinar si el dominio en cuestión es malicioso», dijo Palo Alto Networks a The Hacker News cuando se les contactó para hacer comentarios.

«Xpanse tiene la capacidad de excluir dominios específicos y, a medida que se identifican nuevos C2, Xpanse deja de escanearlos. Continuaremos monitoreando cuidadosamente y agregando a la lista de bloqueo los dominios relevantes según lo identifiquen los investigadores.»

SecShow es el segundo actor de amenazas vinculado a China, después de Muddling Meerkat, en realizar actividades de sondeo DNS a gran escala en internet.

«Las consultas de Muddling Meerkat están diseñadas para mezclarse en el tráfico DNS global y han permanecido inadvertidas durante más de cuatro años, mientras que las consultas de SecShow son codificaciones transparentes de direcciones IP e información de medición», dijeron los investigadores.

Rebirth Botnet Ofrece Servicios de DDoS

El desarrollo surge mientras un actor de amenazas motivado financieramente ha sido encontrado promocionando un nuevo servicio de botnet llamado Rebirth para facilitar ataques de DDoS.

El botnet como servicio (BaaS) de DDoS está «basado en la familia de malware Mirai, y los operadores anuncian sus servicios a través de Telegram y una tienda en línea (rebirthltd.mysellix[.]io)», según el equipo de investigación de amenazas de Sysdig en un análisis reciente.

La firma de ciberseguridad indicó que Rebirth (también conocido como Vulcan) se centra principalmente en la comunidad de videojuegos, alquilando el botnet a otros actores a diferentes precios para atacar servidores de juegos con el objetivo de obtener ganancias financieras. La evidencia más temprana del uso del botnet en el entorno real se remonta a 2019.

El plan más económico, denominado Rebirth Basic, cuesta $15, mientras que los planes Premium, Advanced y Diamond tienen un costo de $47, $55 y $73 respectivamente. También existe un plan llamado Rebirth API ACCESS que se vende por $53.

El malware Rebirth soporta funcionalidades para lanzar ataques DDoS sobre los protocolos TCP y UDP, tales como inundaciones TCP ACK, inundaciones TCP SYN e inundaciones UDP.

Esta no es la primera vez que los servidores de juegos son blanco de botnets de DDoS. En diciembre de 2022, Microsoft reveló detalles sobre otra botnet llamada MCCrash que está diseñada para atacar servidores privados de Minecraft.

Entonces, en mayo de 2023, Akamai detalló una botnet de DDoS para alquilar conocida como Dark Frost, que ha sido observada lanzando ataques DDoS contra compañías de juegos, proveedores de hosting de servidores de juegos, streamers en línea e incluso otros miembros de la comunidad de juegos.

«Con una botnet como Rebirth, un individuo puede realizar DDoS al servidor de juegos o a otros jugadores en un juego en vivo, causando que los juegos presenten fallas y se ralenticen o que las conexiones de otros jugadores se retrasen o se caigan», dijo Sysdig.

«Esto puede estar motivado financieramente para usuarios de servicios de streaming como Twitch, cuyo modelo de negocio depende de que un jugador de streaming gane seguidores; esto esencialmente proporciona una forma de ingresos a través de la monetización de un juego fallido.»

La empresa con sede en California postuló que los clientes potenciales de Rebirth también podrían estar usando la botnet para llevar a cabo el trolling de DDoS (también conocido como stresser trolling), donde se lanzan ataques contra servidores de juegos para interrumpir la experiencia de los jugadores legítimos.

Las cadenas de ataque que distribuyen el malware implican la explotación de fallos de seguridad conocidos (por ejemplo, CVE-2023-25717) para desplegar un script bash que se encarga de descargar y ejecutar el malware de la botnet de DDoS dependiendo de la arquitectura del procesador.

El canal de Telegram asociado con Rebirth ha sido eliminado desde entonces para eliminar todas las publicaciones antiguas, con un mensaje publicado el 30 de mayo de 2024, que decía «Soon we back [sic].» Casi tres horas después, anunciaron un servicio de hosting a prueba de balas llamado «bulletproof-hosting[.]xyz».

Tags :