.gif)
Специалисты Infoblox
злоумышленников, которым дали название Muddling Meerkat.
Исследователи полагают, что это китайские «правительственные» хакеры, которые с 2019 года сканируют DNS-сети по всему миру, отправляя огромное количество запросов через открытые DNS-резолверы.
Изучив огромные объемы DNS-данных, исследователи заметили активность, которая, по их словам, может легко остаться незамеченной или показаться безобидной.
Активность группы начала расти осенью 2023 года
Дело в том, что примечательным аспектом активности Muddling Meerkat является манипуляция записями MX (Mail Exchange), ради которой хакеры внедряют поддельные ответы в «Великий китайский файрвол». Ранее исследователи не наблюдали такого использования китайской системы для интернет-цензуры.
Muddling Meerkat манипулируют DNS-запросами и ответами, воздействуя на механизм, с помощью которого резолверы возвращают IP-адреса. Это может спровоцировать ложные ответы от «Великого китайского файрвола», что ведет к изменению роутинга и потенциальному перенаправлению электронной почты.
Обычно роль «Великого китайского файрвола» заключается в фильтрации и блокировке контента путем перехвата DNS-запросов и предоставлении недействительных ответов, перенаправляющих пользователей с определенных сайтов. Деятельность Muddling Meerkat заставляет систему выдавать фиктивные ответы, которые в итоге используются для изучения отказоустойчивости и поведения других сетей.
Чтобы еще больше запутать свои действия, Muddling Meerkat делает DNS-запросы к случайным поддоменам целевых доменов, которые часто не существуют. Хотя все это напоминает атаку типа Slow Drip DDoS, Infoblox отмечает, что в случае Muddling Meerkat запросы имеют небольшой масштаб и нацелены скорее на тестирование.
Кроме того, злоумышленники используют открытые резолверы для маскировки своей активности и взаимодействуют как с авторитетными, так и с рекурсивными резолверами.
По данным компании, в основном Muddling Meerkat выбирает домены с короткими именами, зарегистрированные до 2000 года, что снижает вероятность попадания в черные списки.
Что касается целей Muddling Meerkat, предполагается, что группировка может составлять карту сетей и оценивать их DNS-защиту, чтобы спланировать будущие атаки. Или же целью хакеров может являться создание DNS-шума, который помогает скрыть более опасную деятельность и сбивает с толку администраторов, пытающихся определить источник аномальных DNS-запросов.
Исследователи полагают, что это китайские «правительственные» хакеры, которые с 2019 года сканируют DNS-сети по всему миру, отправляя огромное количество запросов через открытые DNS-резолверы.
Изучив огромные объемы DNS-данных, исследователи заметили активность, которая, по их словам, может легко остаться незамеченной или показаться безобидной.
Активность группы начала расти осенью 2023 года
Дело в том, что примечательным аспектом активности Muddling Meerkat является манипуляция записями MX (Mail Exchange), ради которой хакеры внедряют поддельные ответы в «Великий китайский файрвол». Ранее исследователи не наблюдали такого использования китайской системы для интернет-цензуры.
Muddling Meerkat манипулируют DNS-запросами и ответами, воздействуя на механизм, с помощью которого резолверы возвращают IP-адреса. Это может спровоцировать ложные ответы от «Великого китайского файрвола», что ведет к изменению роутинга и потенциальному перенаправлению электронной почты.
Обычно роль «Великого китайского файрвола» заключается в фильтрации и блокировке контента путем перехвата DNS-запросов и предоставлении недействительных ответов, перенаправляющих пользователей с определенных сайтов. Деятельность Muddling Meerkat заставляет систему выдавать фиктивные ответы, которые в итоге используются для изучения отказоустойчивости и поведения других сетей.
Чтобы еще больше запутать свои действия, Muddling Meerkat делает DNS-запросы к случайным поддоменам целевых доменов, которые часто не существуют. Хотя все это напоминает атаку типа Slow Drip DDoS, Infoblox отмечает, что в случае Muddling Meerkat запросы имеют небольшой масштаб и нацелены скорее на тестирование.
Кроме того, злоумышленники используют открытые резолверы для маскировки своей активности и взаимодействуют как с авторитетными, так и с рекурсивными резолверами.
По данным компании, в основном Muddling Meerkat выбирает домены с короткими именами, зарегистрированные до 2000 года, что снижает вероятность попадания в черные списки.
Что касается целей Muddling Meerkat, предполагается, что группировка может составлять карту сетей и оценивать их DNS-защиту, чтобы спланировать будущие атаки. Или же целью хакеров может являться создание DNS-шума, который помогает скрыть более опасную деятельность и сбивает с толку администраторов, пытающихся определить источник аномальных DNS-запросов.
