“Muddling Meerkat” (Suricata Atolondrada), un probable actor malicioso creado en la República Popular China con la capacidad de controlar el Gran Firewall (GFW) de China, fue identificado por el departamento de investigación de inteligencia de amenazas de la empresa Infoblox, en colaboración con investigadores externos.

De acuerdo con información de Infoblox, empresa proveedora de servicios de seguridad y redes en la nube, el Gran Firewall (GFW) es un sistema que censura y manipula el tráfico que entra y sale por Internet de China.

¿Cómo opera el GFW?

Este actor de amenazas de DNS es particularmente sofisticado por su capacidad de eludir las medidas de seguridad tradicionales, ya que lleva a cabo operaciones mediante la creación de grandes volúmenes de consultas de DNS ampliamente distribuidas, que posteriormente se propagan por Internet a través de DNS resolvers abiertos.

De acuerdo con lo difundido por Infoblox, esta empresa se basó en su conocimiento y datos sobre el funcionamiento de DNS para descubrir dicha ciberamenaza, “antes de que el incidente se haya producido”, bloqueando sus dominios para garantizar que sus clientes estén seguros.

Se denominó a esta amenaza como “Muddler Meerkat” (Suricata Atolondrada) debido a su aspecto aparentemente inofensivo, pero que en realidad puede ser muy peligroso, ya que vive en una compleja red de madrigueras bajo tierra y ocultas a la vista. Desde una perspectiva técnica, “Meerkat” hace referencia al uso abusivo de los resolvers de DNS abiertos, particularmente mediante la utilización de registros de intercambio de correo DNS (MX). “Muddler” se refiere a la naturaleza desconcertante de sus operaciones.

El actor de amenazas Muddling Meerkat, ha estado operando de forma encubierta desde al menos octubre de 2019. A primera vista, sus operaciones parecen ataques de denegación de servicio distribuido (DDoS) de tipo Slow Drip, aunque es poco probable que DDoS sea su objetivo final. Se desconoce la motivación del actor, aunque es posible que esté realizando un reconocimiento o tomando posiciones para futuros ataques.

Muddleling Meerkat demuestra tener un profundo conocimiento del funcionamiento de DNS, algo poco común entre los actores de amenazas hoy en día, lo que demuestra claramente que el DNS es un arma poderosa si se sabe utilizar por los actores maliciosos.

¿Y qué es lo que provoca?

La investigación muestra además que operaciones de este actor:

• Provocan respuestas del Gran Firewall, incluidos registros MX falsos del espacio de direcciones IP chino. Esto pone de relieve un uso novedoso de la infraestructura de un país como parte fundamental de su estrategia.
• Activan consultas DNS para dominios MX (dominios de correo electrónico) y otros tipos de registros en dominios que no son propiedad del actor pero que residen en dominios de nivel superior conocidos como .com y .org. Esta táctica destaca el uso de técnicas de distracción y ofuscación para ocultar el verdadero propósito de la actividad maliciosa.
• Utilizan dominios muy antiguos, normalmente registrados antes del año 2000, lo que permite al actor mezclarse con otro tráfico DNS y evitar la detección. Esto pone de manifiesto aún más si cabe el dominio que este actor tiene del funcionamiento tanto del DNS como de los controles de seguridad existentes. El informe completo sobre Muddling Meerkat se puede encontrar aquí.

“Infoblox Threat Intel se alimenta, duerme y respira datos de tráfico DNS”, aseveró Renée Burton, vicepresidenta de Infoblox Threat Intel. “Nuestro enfoque continúa siendo en DNS, el uso de data science y de inteligencia artificial nos ha permitido ser los primeros en descubrir Muddling Meerkat acechando en las sombras y producir inteligencia de amenazas crítica para nuestros clientes. Las complejas operaciones de este actor demuestran que posee una sólida comprensión del funcionamiento de DNS, lo que enfatiza la importancia de contar con una estrategia de detección y respuesta de DNS (DNSDR) para detener amenazas sofisticadas como Muddling Meerkat”.