Ator de ameaça chinês ligado ao GFW investiga resolvedores DNS há anos

Nos últimos cinco anos, um agente de ameaça provavelmente ligado ao governo da China tem enviado queries de Domain Name System (DNS) incomuns para endereços IP via internet para mapear resolvedores DNS dentro de redes, bem como para potencialmente recolher outras informações como preparação para futuros ataques.

A empresa de segurança Infoblox detetou padrões incomuns de solicitação de DNS que têm ocorrido intermitentemente desde 2019 e atribuiu-as a um grupo de cibercriminosos apelidado de Muddling Meerkat. As solicitações estão a desencadear um comportamento muito específico, e aparentemente planeado, do Great Firewall (GFW) da China – um conjunto de tecnologias de censura na Internet administradas pelo governo. Os investigadores da Infoblox suspeitam que o Muddling Meerkat tem algumas ligações aos operadores do GFW.

“A escolha dos domínios alvo do Muddling Meerkat demonstra sofisticação no DNS”, explicam os investigadores da Infoblox num artigo de investigação publicado. “Os operadores confusos do Meerkat induzem respostas seletivas do GFW que não ocorrem na censura normal do GFW. Para fazer isso, escolheram domínios-alvo que não controlam, que é muito improvável que os dispositivos de segurança bloqueiem. Além disso, utilizam tipos de query que normalmente não são monitorizados e criam um volume de queries que se mistura com o tráfego DNS normal”.

Entre as múltiplas queries do Muddling Meerkat para vários tipos de registos de DNS descobertas pelos investigadores, as de troca de mensagens (MX), que consistem em hostnames para os servidores que gerem emails para esse domínio específico, destacaram-se como as mais comuns e diferentes.

A ação dos cibercriminosos passa pelo envio de queries MX para um número selecionado de domínios que não possuem, assim como para subdomínios gerados aleatoriamente e inexistentes desses domínios primários. Estes domínios visados não pertencem aos atacantes, tendo sido escolhidos intencionalmente por serem antigos, alguns com mais de 20 anos, e muito curtos, com um nome composto somente por duas a quatro letras.

Os investigadores indicaram algumas possíveis razões para a escolha destes domínios-alvo pela parte dos invasores. A idade avançada dos domínios torna improvável que estejam em listas de bloqueio de DNS regularmente mantidas, enquanto os nomes curtos permitem que possam ser utilizados para o Active Directory dentro das redes.

De acordo com as observações da Infoblox, os endereços IP que fizeram as queries eram principalmente chineses e não pareceram ser falsificados, o que indica que o grupo estaria provavelmente a utilizar servidores dedicados para realizar a investigação. A par disto, alguns domínios selecionados tinham os seus servidores de nomes autorizados também hospedados na China.

Para os investigadores, isto significa que o GFW estava no caminho de routing para essas solicitações, podendo, assim, injetar respostas. O GFW é geralmente conhecido por injetar respostas DNS falsas para domínios e sistemas que o governo não quer que os utilizadores acedam. Estas respostas direcionarão as solicitações para um conjunto de endereços IP provavelmente controlados pelo governo chinês.

A Infoblox verificou que existe um comportamento do GFW semelhante para as queries MX iniciadas pelo Muddling Meerkat, onde as respostas, em vez de erros NXDOMAIN, incluíam endereços IP chineses que não tinham a porta 53 aberta e, portanto, também não eram servidores DNS. Segundo os investigadores, é a primeira vez que o GFW falsifica respostas MX e parece fazê-lo para subdomínios inexistentes e gerados aleatoriamente que não têm valor de censura, visto que muitos dos principais domínios direcionados estão inativos e não veiculam nenhum conteúdo.

Além disto, quando os investigadores tentaram replicar eles próprios as solicitações, não conseguiram fazer com que o GFW realizasse essas injeções de resposta incomuns. Desta forma, chegaram a uma conclusão: ou as regras de injeção estão em vigor apenas quando o Muddling Meerkat executa as suas atividades de investigação, ou existem certos elementos de identificação nas solicitações do Muddling Meerkat que não podem replicar e que o GFW procura.

“Para induzir respostas seletivas como as que observamos ao longo de quatro anos, parece que o Muddling Meerkat deve de alguma forma estar ligado aos operadores do GFW”, afirma Renée Burton, vice-presidente de Threat Intelligence da Infoblox, no artigo. “Embora eu também não saiba como é que estas respostas seletivas são acionadas, é possível que as assinaturas contidas nos pacotes IP, como aquelas observadas no tráfego do ExploderBot, sejam usadas para sinalizar uma resposta diferente do GFW”.