Erdmännchen im Schlamm
Eine neue Cyber-Bedrohung namens "Muddling Meerkat" (auf Deutsch etwa: „Erdmännchen im Schlamm“) ist aufgetaucht und wurde bei ausgeklügelten DNS-Aktivitäten beobachtet, die darauf abzielen könnten, Sicherheitsmaßnahmen zu untergraben. Seit Oktober 2019 erkundet der Akteur weltweit Netzwerke.
Das Cloud-Sicherheitsunternehmen Infoblox beschreibt den Bedrohungsakteur als „wahrscheinlich mit der Volksrepublik China (VRC) verbunden“ und in der Lage, die „Große Firewall“ (GFW) zu kontrollieren, die den Zugang zu ausländischen Websites zensiert und den Internetverkehr ins und aus dem Land manipuliert.
Der Name bezieht sich auf die „verwirrende“ Natur ihrer Operationen und den Missbrauch von offenen DNS-Resolvern – das sind DNS-Server, die rekursive Anfragen von allen IP-Adressen akzeptieren – durch die Akteure, um Anfragen aus dem chinesischen IP-Raum zu senden.
Das Unternehmen sagte in einem Bericht: „Muddling Meerkat zeigt ein raffiniertes Verständnis von DNS, das unter heutigen Bedrohungsakteuren ungewöhnlich ist – ein deutliches Zeichen dafür, dass DNS eine mächtige Waffe ist, die von Gegnern genutzt wird.“
Im Detail geht es darum, dass Muddling Meerkat DNS-Anfragen für Mail Exchange (MX) und andere Datensatztypen an Domänen auslöst, die nicht dem Akteur gehören, aber unter bekannten Top-Level-Domänen wie .com und .org zu finden sind. Infoblox, das den Bedrohungsakteur anhand von anomalen DNS-MX-Eintragsanfragen entdeckte, die von Kundengeräten an seine rekursiven Resolver gesendet wurden, gab an, mehr als 20 solcher Domänen entdeckt zu haben:
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, s8[.]com, f4[.]com, b6[.]com, p3z[.]com, ob[.]com, eg[.]com, kok[.]com, gogo[.]com, aoa[. ]com, gogo[.]com, zbo6[.]com, id[.]com, mv[.]com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, tunk[.]org, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
„Muddling Meerkat entlockt der Great Firewall eine spezielle Art von gefälschtem DNS MX-Eintrag. So etwas wurde noch nie zuvor gesehen“, so Dr. Renée Burton, Vice President of Threat Intelligence bei Infoblox. „Dafür muss Muddling Meerkat eine Beziehung zu den Betreibern der Great Firewall (GFW) haben.“
„Die Ziel-Domains sind die Domains, die in den Abfragen verwendet werden, also nicht unbedingt das Ziel eines Angriffs. Es handelt sich um die Domäne, die zur Durchführung des Probe-Angriffs verwendet wird. Diese Domains gehören nicht Muddling Meerkat.“
Die Great Firewall verlässt sich auf DNS-Spoofing und -Manipulation, um gefälschte DNS-Antworten mit zufälligen echten IP-Adressen einzuführen, wenn eine Anfrage mit einem verbotenen Schlüsselwort oder einer gesperrten Domäne übereinstimmt. Wenn ein Benutzer versucht, nach einem gesperrten Schlüsselwort oder einer gesperrten Phrase zu suchen, blockiert die GFW die Website-Anfrage oder leitet sie so um, dass der Benutzer nicht auf die gewünschten Informationen zugreifen kann. Dies wird durch Techniken wie DNS-Cache-Poisoning oder das Sperren von IP-Adressen erreicht.
Das bedeutet auch, dass, wenn die GFW eine Anfrage an eine blockierte Website feststellt, das ausgeklügelte Tool eine gefälschte DNS-Antwort mit einer ungültigen IP-Adresse oder einer IP-Adresse an eine andere Domäne injiziert, wodurch der Cache von rekursiven DNS-Servern innerhalb seiner Grenzen effektiv beschädigt wird.
„Das bemerkenswerteste Merkmal von Muddling Meerkat ist das Vorhandensein von falschen MX-Eintragsantworten von chinesischen IP-Adressen“, so Burton. „Dieses Verhalten […] weicht vom Standardverhalten der GFW ab.“
Burton weiter: „Diese Auflösungen stammen von chinesischen IP-Adressen, die keine DNS-Dienste hosten, und enthalten falsche Antworten, die mit der GFW übereinstimmen. Im Gegensatz zum bekannten Verhalten der GFW enthalten die MX-Antworten von Muddling Meerkat jedoch keine IPv4-Adressen, sondern korrekt formatierte MX-Ressourceneinträge.“
Die genaue Absicht hinter dieser langjährigen Aktivität ist nicht klar, obwohl es die Möglichkeit gibt, dass sie Teil eines Internet-Mapping-Projekts oder einer Art von Forschung ist.
„Muddling Meerkat ist ein chinesischer Akteur auf staatlicher Ebene, der fast täglich absichtliche und hochqualifizierte DNS-Operationen gegen globale Netzwerke durchführt – und das volle Ausmaß seiner Operationen kann nicht an einem einzigen Ort gesehen werden“, ergänzt Burton. „Malware ist in dieser Hinsicht einfacher als DNS – wenn man die Malware erst einmal lokalisiert hat, ist es einfach, sie zu verstehen. Hier wissen wir, dass etwas passiert, aber wir verstehen es nicht ganz. Die CISA, das FBI und andere Behörden warnen weiterhin vor nicht erkannten chinesischen Vorbereitungsmaßnahmen. Wir sollten uns über alles Sorgen machen, was wir nicht vollständig sehen oder verstehen können.“