A especialista em cibersegurança Infoblox divulgou nessa segunda-feira (29) um relatório em que seus pesquisadores de inteligência de ameaças, em colaboração com pesquisadores externos, detalham a operação do chamado Muddling Meerkat. A empresa define o agente como um “provável ator estatal da RPC [República Popular da China] com capacidade de controlar o Grande Firewall da China”.
O Grande Firewall, oficialmente conhecido como Projeto Escudo Dourado, é um sistema que censura o tráfego que entra e sai da internet chinesa. Segundo a empresa, se trata de um agente de ameaça DNS sofisticado na capacidade de contornar medidas de segurança tradicionais. Para fazê-lo, cria grandes volumes de consultas DNS.
Veja ainda: Apple remove aplicativos da Meta em App Store da China
“Nosso foco incansável em DNS, usando ciência de dados e IA de ponta, permitiu que nossa equipe global de caçadores de ameaças fosse a primeira a descobrir o Muddling Meerkat escondido nas sombras e a produzir inteligência crítica sobre ameaças para nossos clientes”, diz Renée Burton, vice-presidente da Infoblox Threat Intel. “As operações complexas deste ator demonstram uma forte compreensão do DNS, enfatizando a importância de ter uma estratégia de detecção e resposta de DNS (DNSDR) em vigor para impedir ameaças sofisticadas como o Muddling Meerkat.”
Segundo a empresa, o Muddling Meerkat opera secretamente desde pelo menos outubro de 2019. À primeira vista, suas operações parecem ataques distribuídos de negação de serviço (DDoS) do Slow Drip. No entanto, diz, é improvável que o DDoS seja o objetivo final, muito embora a motivação do ator seja desconhecida e ele possa estar realizando reconhecimento ou se posicionando para ataques futuros.
A pesquisa mostra também que o agente induz respostas do Grande Firewall, incluindo registros MX falsos do espaço de endereço IP chinês. Isto destaca utilização da infraestrutura nacional como parte da estratégia.
O Muddling Meerkat também aciona consultas DNS para MX e outros tipos de registro para domínios que não pertencem ao ator, mas que residem em domínios como .com e .org. Essa tática destaca o uso de técnicas de distração e ofuscação para ocultar o real propósito pretendido, diz a Infoblox.
Utiliza domínios muito antigos, normalmente registrados antes do ano 2000, permitindo que o ator se misture com outro tráfego DNS e evite a detecção. Isto destaca ainda mais a compreensão do agente da ameaça sobre o DNS e os controles de segurança existentes, diz a empresa.
O relatório pode ser encontrado nesse link.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
A Sonda, integradora de origem chilena, anunciou essa semana uma parceria com a Kodak Alaris…
Já estão abertas as inscrições para o prêmio Executivo de TI do Ano de 2024!…
A Ericsson está comemorando 100 anos no Brasil. Uma história de transformação não só da…
A Genial Investimentos anunciou uma atualização significativa de seu aplicativo, projetada para unificar investimentos, crédito,…
A União Europeia lançou formalmente uma investigação contra a Meta, empresa responsável pelas plataformas de…
A OpenAI enfrenta mais uma reviravolta em sua liderança com a renúncia de Jan Leike,…