Chinesische Hacker manipulieren DNS über die Große Firewall

Die Aktivitäten einer neuen Hackergruppe, bekannt als „Muddling Meerkat“, werden seit Oktober 2019 beobachtet und stehen im Verdacht, im Auftrag des chinesischen Staates zu operieren. Ein markanter Anstieg der Aktivitäten wurde im September 2023 verzeichnet. Die Gruppe hat es geschafft, durch Manipulation der DNS-Einstellungen mittels Chinas Großer Firewall (GFW) global Netzwerke zu überwachen und zu beeinflussen.

Fortgeschrittene DNS-Manipulation

Forscher von Infoblox haben festgestellt, dass Muddling Meerkat die DNS-Abfragen manipuliert, indem gefälschte Antworten auf MX (Mail Exchange) Records durch die Große Firewall eingespeist werden. Dieses Vorgehen ist eine bisher ungewöhnliche und noch nicht beobachtete Methode im Rahmen der Internetzensur durch China.

Die Große Firewall ist üblicherweise dafür bekannt, den Zugriff auf bestimmte Inhalte zu filtern und zu blockieren, indem DNS-Anfragen abgefangen und ungültige Antworten zurückgesendet werden, um Nutzer von bestimmten Websites fernzuhalten. Die Aktivitäten von Muddling Meerkat jedoch nutzen diese Infrastruktur, um falsche Antworten zu generieren, die beispielsweise das Routing beeinflussen und Emails fehlleiten könnten.

Techniken und Taktiken der Manipulation

Die Gruppe nutzt sogenannte „Operator on the side“-Techniken, bei denen die Firewall nicht direkt die DNS-Antworten verändert, sondern eigene Antworten einspeist, die in einem Wettlauf mit den Antworten vom ursprünglich anvisierten Ziel stehen. Wenn die Antwort der GFW zuerst beim Anfragenden eintrifft, kann dies dessen DNS-Cache „vergiften“.

Um ihre Aktivitäten weiter zu verschleiern, stellt Muddling Meerkat DNS-Anfragen für zufällige Subdomains ihrer Ziel-Domains, die oft nicht existieren. Obwohl dies einem Angriff ähnelt, der als „Slow Drip DDoS“ bekannt ist, sind die Abfragen von Muddling Meerkat klein angelegt und eher auf Tests als auf Störungen ausgerichtet.

Ziel und mögliche Motive

Muddling Meerkat könnte Netzwerke kartieren und ihre DNS-Sicherheit bewerten, um zukünftige Angriffe zu planen, oder sie könnten darauf abzielen, DNS-„Rauschen“ zu erzeugen, um andere bösartige Aktivitäten zu verbergen und Administratoren zu verwirren, die versuchen, die Quelle anomaler DNS-Anfragen zu lokalisieren.

Der Bericht von Infoblox bietet eine umfassende Liste von Indikatoren für Kompromittierungen (IoCs) und beschreibt die angewandten Techniken, Taktiken und Verfahren (TTPs) der Gruppe, einschließlich Listen von Domains, die ohne erhebliche Auswirkungen blockiert werden können, da sie keine Website hosten, illegale Inhalte bieten oder lediglich geparkt sind.