Infoblox detalha operação DNS que controla Grande Firewall da China
Segundo a empresa, Muddling Meerkat é provavelmente controlada por atores estatais chineses e contorna segurança tradicional

A especialista em cibersegurança Infoblox divulgou nessa segunda-feira (29) um relatório em que seus pesquisadores de inteligência de ameaças, em colaboração com pesquisadores externos, detalham a operação do chamado Muddling Meerkat. A empresa define o agente como um “provável ator estatal da RPC [República Popular da China] com capacidade de controlar o Grande Firewall da China”.
O Grande Firewall, oficialmente conhecido como Projeto Escudo Dourado, é um sistema que censura o tráfego que entra e sai da internet chinesa. Segundo a empresa, se trata de um agente de ameaça DNS sofisticado na capacidade de contornar medidas de segurança tradicionais. Para fazê-lo, cria grandes volumes de consultas DNS.
Veja ainda: Apple remove aplicativos da Meta em App Store da China
“Nosso foco incansável em DNS, usando ciência de dados e IA de ponta, permitiu que nossa equipe global de caçadores de ameaças fosse a primeira a descobrir o Muddling Meerkat escondido nas sombras e a produzir inteligência crítica sobre ameaças para nossos clientes”, diz Renée Burton, vice-presidente da Infoblox Threat Intel. “As operações complexas deste ator demonstram uma forte compreensão do DNS, enfatizando a importância de ter uma estratégia de detecção e resposta de DNS (DNSDR) em vigor para impedir ameaças sofisticadas como o Muddling Meerkat.”
Segundo a empresa, o Muddling Meerkat opera secretamente desde pelo menos outubro de 2019. À primeira vista, suas operações parecem ataques distribuídos de negação de serviço (DDoS) do Slow Drip. No entanto, diz, é improvável que o DDoS seja o objetivo final, muito embora a motivação do ator seja desconhecida e ele possa estar realizando reconhecimento ou se posicionando para ataques futuros.
Em detalhes
A pesquisa mostra também que o agente induz respostas do Grande Firewall, incluindo registros MX falsos do espaço de endereço IP chinês. Isto destaca utilização da infraestrutura nacional como parte da estratégia.
O Muddling Meerkat também aciona consultas DNS para MX e outros tipos de registro para domínios que não pertencem ao ator, mas que residem em domínios como .com e .org. Essa tática destaca o uso de técnicas de distração e ofuscação para ocultar o real propósito pretendido, diz a Infoblox.
Utiliza domínios muito antigos, normalmente registrados antes do ano 2000, permitindo que o ator se misture com outro tráfego DNS e evite a detecção. Isto destaca ainda mais a compreensão do agente da ameaça sobre o DNS e os controles de segurança existentes, diz a empresa.
O relatório pode ser encontrado nesse link.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!