Nieuwe Chinese dreigingsactor ontdekt: mogelijk gericht op wereldwijd ontwrichtende cyberaanvallen
Het Domain Name System (DNS) is het fundament van alle online netwerken. Daarmee ligt het ook aan de basis van veel cybercrime. In het afgelopen jaar heeft Infoblox Threat Intel via DNS analyse al meerdere grote dreigingen blootgelegd. De nieuwste dreiging die Infoblox Threat Intel heeft ontdekt, is de vermeende Chinese actor “Muddling Meerkat”, die al vijf jaar ongemerkt bezig is open DNS-resolvers in kaart te brengen. Het uiteindelijke doel van Muddling Meerkat is nog onduidelijk, maar het dient mogelijk ter voorbereiding van toekomstige cyberaanvallen op de (digitale) infrastructuur. Erg opmerkelijk: deze actor interacteert op een unieke wijze met de Great Firewall, het Chinese systeem voor internetcensuur – een aanwijzing dat Muddling Meerkat staatssteun heeft.
De activiteiten van Muddling Meerkat lijken op het eerste gezicht op een type DDoS-aanval. Maar het volume aan queries is er te laag voor. Het gedrag van deze actor is daarnaast zo verwarrend dat het op eerste gezicht geen dreiging lijkt te zijn. Maar niets is wat het lijkt in cybersecurity. Een vermoeden is dat Muddling Meerkat zich richt op het in kaart brengen van netwerken. Dit komt overeen met een recente waarschuwing van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en verschillende internationale partners dat de VS “in de afgelopen jaren een strategische verschuiving gezien in de activiteiten van [China] op het gebied van cyberdreigingen, van spionage naar het voorbereiden van mogelijke verstorende cyberaanvallen op de kritieke infrastructuur van de VS.”
Daarbij richt deze actor zich op open DNS-resolvers die queries verwerken, ongeacht hun afkomst. Open DNS-resolvers zijn beruchte aanvalsroutes voor criminelen en het dichttimmeren van deze resolvers zou moeten gebeuren als basale veiligheidsmaatregel.
Meer aandacht voor DNS-beveiliging
De ontdekking van Muddling Meerkat onderstreept het belang van beveiliging en monitoring op DNS-niveau. 92% van alle kwaadaardige activiteiten kan op deze wijze worden geblokkeerd. Bij meer geavanceerde DNS-manipulatie is daar echter realtime monitoring nodig in combinatie met dreigingsinformatie uit de securitysector.
Muddling Meerkat is ontdekt in een samenwerking tussen Infoblox Threat Intel en externe onderzoekers. Het team van Infoblox Threat Intel is als enige ter wereld in staat om geavanceerde DNS-dreigingen te ontdekken die andere onderzoekers over het hoofd zien. Deze dreigingsinformatie kan vervolgens worden ingezet om realtime te monitoren op verdachte DNS-activiteit.
"Bij Infoblox Threat Intel zit DNS in ons DNA", zegt Dr. Renée Burton, Vice President van Infoblox Threat Intel. "Onze onophoudelijke focus op DNS in combinatie met geavanceerde datawetenschap en AI, heeft ons wereldwijde team van speurneuzen in staat gesteld om als eerste Muddling Meerkat te ontdekken en cruciale dreigingsinformatie voor onze klanten te produceren. De complexe werkwijzen van deze actor tonen een sterk begrip van DNS, wat het belang benadrukt van een DNS-detectie en -responsstrategie (DNSDR) om geavanceerde dreigingen zoals Muddling Meerkat te stoppen."
Lees meer
