‘Muddling Meerkat’ vinculado a China secuestra DNS para mapear Internet a escala global

Luis Quiles

mayo 8, 2024

Seguridad de DNS, Ciber espionaje

Un ciberamenaza previamente no documentada, apodada Muddling Meerkat, ha sido observada llevando a cabo actividades sofisticadas del Sistema de Nombres de Dominio (DNS) en un probable esfuerzo por evadir medidas de seguridad y llevar a cabo reconocimientos de redes en todo el mundo desde octubre de 2019.

La firma de seguridad en la nube Infoblox describió al actor de amenazas como probablemente afiliado a la República Popular China (RPC) con la capacidad de controlar el Gran Cortafuegos (GFW), que censura el acceso a sitios web extranjeros y manipula el tráfico de Internet hacia y desde el país.

El apodo hace referencia a la naturaleza «desconcertante» de sus operaciones y al abuso del actor de los servidores DNS abiertos recursivos, que son servidores DNS que aceptan consultas recursivas de todas las direcciones IP, para enviar consultas desde el espacio de direcciones IP chinas.

«Muddling Meerkat demuestra una comprensión sofisticada del DNS que es poco común entre los actores de amenazas hoy en día, señalando claramente que el DNS es un arma poderosa aprovechada por los adversarios», dijo la compañía en un informe compartido con The Hacker News.

Más específicamente, implica desencadenar consultas DNS para registros de intercambio de correo (MX) y otros tipos de registros en dominios que no son propiedad del actor, pero que residen bajo dominios de nivel superior conocidos como .com y .org.

Infoblox, que descubrió al actor de amenazas a partir de solicitudes de registros DNS MX anómalas que fueron enviadas a sus servidores recursivos por dispositivos de clientes, dijo que detectó más de 20 dominios de este tipo:

4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, s8[.]com, f4[.]com, b6[.]com, p3z[.]com, ob[.]com, eg[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, zbo6[.]com, id[.]com, mv[.]com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, tunk[.]org, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com

«Muddling Meerkat provoca un tipo especial de registro DNS MX falso desde el Gran Cortafuegos que nunca se había visto antes», dijo la Dra. Renée Burton, vicepresidenta de inteligencia de amenazas de Infoblox, a The Hacker News. «Para que esto ocurra, Muddling Meerkat debe tener una relación con los operadores del GFW.»

«Los dominios objetivo son el dominio utilizado en las consultas, por lo que no necesariamente son el objetivo de un ataque. Es el dominio utilizado para llevar a cabo el ataque de sondeo. Estos dominios no son propiedad de Muddling Meerkat.»

Se sabe que el Gran Cortafuegos (GFW) se basa en lo que se llama suplantación y manipulación DNS para inyectar respuestas DNS falsas que contienen direcciones IP reales aleatorias cuando una solicitud coincide con una palabra clave prohibida o un dominio bloqueado.

En otras palabras, cuando un usuario intenta buscar una palabra clave o frase bloqueada, el GFW bloquea o redirige la consulta del sitio web de una manera que evitará que el usuario acceda a la información solicitada. Esto se logra mediante técnicas como envenenamiento de caché DNS o bloqueo de direcciones IP.

Esto también significa que si el GFW detecta una consulta a un sitio web bloqueado, la herramienta sofisticada inyecta una respuesta DNS falsa con una dirección IP inválida, o una dirección IP a un dominio diferente, corrompiendo efectivamente la caché de los servidores DNS recursivos ubicados dentro de sus fronteras.

«La característica más notable de Muddling Meerkat es la presencia de respuestas de registros MX falsos desde direcciones IP chinas», dijo Burton. «Este comportamiento […] difiere del comportamiento estándar del GFW.»

«Estas resoluciones se originan en direcciones IP chinas que no alojan servicios DNS y contienen respuestas falsas, consistentes con el GFW. Sin embargo, a diferencia del comportamiento conocido del GFW, las respuestas MX de Muddling Meerkat incluyen no direcciones IPv4 sino registros de recursos MX correctamente formateados».

La motivación exacta detrás de la actividad de varios años no está clara, aunque plantea la posibilidad de que se realice como parte de un esfuerzo de mapeo de Internet o de alguna investigación.

«Muddling Meerkat es un actor estatal chino que realiza operaciones de DNS deliberadas y altamente hábiles contra redes globales casi a diario, y el alcance completo de su operación no se puede ver en un solo lugar», dijo Burton.

«El malware es más fácil que el DNS en este sentido: una vez que localizas el malware, es fácil de entender. Aquí, sabemos que algo está sucediendo, pero no lo entendemos completamente. CISA, el FBI y otras agencias continúan advirtiendo sobre operaciones de posicionamiento previo chinas que no son detectadas. Deberíamos preocuparnos por cualquier cosa que no podamos ver o entender completamente».

Tags :