Un nouveau groupe d’activités répertorié sous le nom de « Muddling Meerkat » serait lié à la manipulation du DNS par un acteur menaçant parrainé par l’État chinois pour sonder les réseaux à l’échelle mondiale depuis octobre 2019, avec un pic d’activité observé en septembre 2023.

Un aspect notable de l’activité de Muddling Meerkat est la manipulation des enregistrements MX (Mail Exchange) en injectant de fausses réponses à travers le Grand Pare-feu chinois (GFW), un comportement inhabituel et inédit pour le système de censure Internet du pays.

Découverte par Infoblox, l’activité n’a pas d’objectif ni de motivation clairs, mais démontre une sophistication et des capacités avancées pour manipuler les systèmes DNS mondiaux.

Volume d’activité observé

Opérations confuses des suricates
En examinant d’énormes volumes de données DNS, les chercheurs d’Infoblox ont découvert une activité qui, selon eux, pourrait facilement passer sous le radar ou être confondue avec inoffensive.

Le DNS est un composant fonctionnel essentiel d’Internet, traduisant des noms de domaine lisibles par l’homme en adresses IP que les ordinateurs utilisent pour s’identifier mutuellement sur le réseau et établir des connexions.

Embrouillage Meerkat manipule les requêtes et les réponses DNS en ciblant le mécanisme par lequel les résolveurs renvoient les adresses IP.

Par exemple, ils peuvent provoquer de fausses réponses d’enregistrement MX de la part du GFW pour manipuler le routage et potentiellement détourner les e-mails.

Routage standard des requêtes MX

La fonction du Grand Pare-feu est généralement de filtrer et de bloquer le contenu en interceptant les requêtes DNS et en fournissant des réponses invalides, redirigeant les utilisateurs de certains sites. Les activités de Muddling Meerkat l’amènent à émettre de fausses réponses qui servent des objectifs tels que tester la résilience et le comportement d’autres réseaux.

« Le GFW peut être décrit comme un « opérateur sur le côté », ce qui signifie qu’il ne modifie pas directement les réponses DNS mais injecte ses propres réponses, entrant dans une condition de concurrence avec toute réponse de la destination initiale prévue. Lorsque la réponse GFW est reçue en premier par le demandeur, elle peut empoisonner son cache DNS. En plus du GFW, la Chine exploite un système appelé le Grand Canon (GC). Le GC est un « opérateur au milieu », lui permettant de modifier les paquets en route vers leur destination. »

❖ Boîte à infos

Pour obscurcir davantage leurs activités, Muddling Meerkat effectue des requêtes DNS pour des sous-domaines aléatoires de leurs domaines cibles, qui n’existent souvent pas.

Bien que cela ressemble à une attaque nommée « Slow Drip DDoS », Infoblox note que dans le cas de Muddling Meerkat, les requêtes sont de petite envergure et visent à tester plutôt qu’à perturber.

L’auteur de la menace exploite également les résolveurs ouverts pour obscurcir leur activité et interagit avec des résolveurs faisant autorité et récursifs.

Vue d’ensemble des opérations de confusion des suricates

Infoblox rapporte que Muddling Meerkat choisit des domaines cibles avec des noms courts enregistrés avant 2000, ce qui les rend moins susceptibles d’être sur des listes de blocage DNS.

En ce qui concerne le but de l’activité, Muddling Meerkat peut cartographier les réseaux et évaluer leur sécurité DNS pour planifier de futures attaques, ou leur objectif peut être de créer du « bruit » DNS, ce qui peut aider à masquer davantage d’activités malveillantes et à dérouter les administrateurs qui tentent de localiser la source des requêtes DNS anormales.

Le rapport Infoblox fournit une liste complète des indicateurs de compromission (IOC) et des techniques, tactiques et procédures (TTP) confus de Suricate, y compris des listes de domaines qui peuvent être bloqués sans impact significatif en raison de l’absence d’hébergement de site Web, de l’hébergement de contenu illégal ou du stationnement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *