- 9,658
- 18
- 8 Ноя 2022
Как Великий китайский файрволл стал оружием в руках киберпреступников?
Хакерская группировка, получившая от исследователей безопасности название Muddling Meerkat, использует сложные методы работы с системой доменных имён ( DNS ) для проведения разведывательной деятельности в сетях по всему миру с октября 2019 года.
Для просмотра ссылки Войдиили Зарегистрируйся компании Infoblox , специализирующейся на обеспечении облачной безопасности, данная группа, вероятно, аффилирована с Китаем и имеет возможность контролировать так называемый Великий китайский файервол (Great Firewall, GFW), который цензурирует доступ к иностранным сайтам и манипулирует интернет-трафиком страны.
Операции Muddling Meerkat описываются как «озадачивающие», что отражает их способность использовать открытые DNS-резольверы для отправки запросов из китайского IP-пространства. Такие действия демонстрируют продвинутое понимание DNS, что, по мнению экспертов, делает данную технологию мощным оружием в руках хакеров.
Тактика Muddling Meerkat включает инициацию DNS-запросов для почтовых обменов (MX) и других типов записей к доменам, которые не принадлежат самим злоумышленникам, но находятся в известных доменах верхнего уровня, таких как «.com» и «.org». Infoblox идентифицировала более 20 таких доменов, многие из которых являются старыми и зарегистрированы до 2000 года, что позволяет хакерам оставаться незамеченными и уклоняться от блокировок.
Кроме того, специалистами наблюдались попытки использовать серверы в китайском IP-пространстве для создания запросов DNS к случайным поддоменам IP-адресов по всему миру, что соответствует известным методам GFW, который использует подделку и манипуляцию DNS для вставки фальшивых DNS-ответов, содержащих случайные реальные IP-адреса, если запрос совпадает с запрещённым ключевым словом или заблокированным доменом.
Наиболее выдающейся чертой группы Muddling Meerkat является генерация ложных MX-записей с китайских IP-адресов, что отличается от стандартного поведения GFW. Эти ответы исходят с IP-адресов, которые не предоставляют DNS-услуги, а также содержат ложные данные.
Рене Бертон, вице-президент по угрозам в Infoblox, подчёркивает, что этот метод работы с DNS-запросами отличается от стандартных методов GFW. Точные мотивы деятельности Muddling Meerkat пока остаются неясными, однако существует предположение, что они могут быть связаны с исследованием Интернета или каким-то видом картографических операций.
Хакерская группировка, получившая от исследователей безопасности название Muddling Meerkat, использует сложные методы работы с системой доменных имён ( DNS ) для проведения разведывательной деятельности в сетях по всему миру с октября 2019 года.
Для просмотра ссылки Войди
Операции Muddling Meerkat описываются как «озадачивающие», что отражает их способность использовать открытые DNS-резольверы для отправки запросов из китайского IP-пространства. Такие действия демонстрируют продвинутое понимание DNS, что, по мнению экспертов, делает данную технологию мощным оружием в руках хакеров.
Тактика Muddling Meerkat включает инициацию DNS-запросов для почтовых обменов (MX) и других типов записей к доменам, которые не принадлежат самим злоумышленникам, но находятся в известных доменах верхнего уровня, таких как «.com» и «.org». Infoblox идентифицировала более 20 таких доменов, многие из которых являются старыми и зарегистрированы до 2000 года, что позволяет хакерам оставаться незамеченными и уклоняться от блокировок.
Кроме того, специалистами наблюдались попытки использовать серверы в китайском IP-пространстве для создания запросов DNS к случайным поддоменам IP-адресов по всему миру, что соответствует известным методам GFW, который использует подделку и манипуляцию DNS для вставки фальшивых DNS-ответов, содержащих случайные реальные IP-адреса, если запрос совпадает с запрещённым ключевым словом или заблокированным доменом.
Наиболее выдающейся чертой группы Muddling Meerkat является генерация ложных MX-записей с китайских IP-адресов, что отличается от стандартного поведения GFW. Эти ответы исходят с IP-адресов, которые не предоставляют DNS-услуги, а также содержат ложные данные.
Рене Бертон, вице-президент по угрозам в Infoblox, подчёркивает, что этот метод работы с DNS-запросами отличается от стандартных методов GFW. Точные мотивы деятельности Muddling Meerkat пока остаются неясными, однако существует предположение, что они могут быть связаны с исследованием Интернета или каким-то видом картографических операций.
- Источник новости
- www.securitylab.ru
