SecShow: китайский монстр атакует DNS

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Какая цель движет хакерами и зачем они используют столь необычные методы?

Исследователи кибербезопасности раскрыли деятельность китайской группы под кодовым названием SecShow, которая проводит глобальные атаки через систему доменных имён (DNS) с июня 2023 года.

По данным экспертов компании Infoblox, SecShow работает через китайскую образовательно-исследовательскую сеть (CERNET), активно финансируемую местным правительством.

«Эти атаки направлены на обнаружение и измерение ответов DNS на открытых резолверах», говорится в отчёте. «Конечная цель операций SecShow неизвестна. Собранная сейчас информация хоть и может использоваться в злонамеренных целях, но пока что полезна только для самих атакующих».

Есть предположения, что операция может быть связана с научными исследованиями, включающими измерения с использованием IP-спуфинга на доменах «secshow[.]net», аналогично проекту Closed Resolver Project. Однако это порождает ещё больше вопросов, включая цель сбора данных и смысл использования общего Gmail-адреса для обратной связи.

Открытые резолверы — это DNS-серверы, которые могут принимать и обрабатывать доменные имена от любого пользователя в Интернете, что делает их уязвимыми для DDoS-атак, таких как DNS-усиление (DNS Amplification).

В России и ищешь VPN? Покупай через Телеграмм-бот:

Основой атак является использование серверов имён CERNET для идентификации открытых DNS-резолверов и расчёта DNS-ответов. Процесс включает отправку DNS-запроса с неопределённого источника на открытый резолвер, заставляя сервер имён SecShow возвращать случайный IP-адрес.

Интересно, что эти серверы имён настроены возвращать новый случайный IP-адрес при каждом запросе с другого открытого резолвера, что вызывает увеличение числа запросов благодаря программному продукту Cortex Xpanse от Palo Alto.

«Cortex Xpanse рассматривает доменное имя в DNS-запросе как URL и пытается получить контент с случайного IP-адреса для этого доменного имени», — объясняют исследователи. «Межсетевые экраны, такие как Palo Alto и Check Point, а также другие устройства безопасности, выполняют фильтрацию URL при получении запроса от Cortex Xpanse».

  EmailGPT: ИИ-шпион в вашем почтовом ящике

Этот процесс фильтрации инициирует новый DNS-запрос для домена, что заставляет сервер имён возвращать другой случайный IP-адрес, создавая бесконечный цикл запросов.

Некоторые аспекты этих сканирований ранее уже были раскрыты исследователями Dataplane.org и Unit 42. В то же время, сервера имён SecShow перестали отвечать на запросы с середины мая 2024 года.

«В данный момент известного воздействия на сети клиентов нет, за исключением незначительного увеличения активности разрешения DNS для определения, является ли домен злонамеренным», — сообщили эксперты Palo Alto Networks. «Xpanse имеет возможность исключать определённые домены, и по мере идентификации новых командных серверов они добавляются в список блокировки. Мы продолжим внимательно следить и добавлять в блок-лист релевантные домены».

SecShow является второй китайской группой злоумышленников после Muddling Meerkat, выполняющим масштабные DNS-атаки. «Запросы Muddling Meerkat смешивались с глобальным DNS-трафиком и оставались незамеченными более четырёх лет, в то время как запросы SecShow прозрачны и включают информацию об IP-адресах и измерительной информации», — пояснили исследователи.

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

  HarmonyOS обходит iOS: Huawei становится №2 на рынке мобильных ОС в Китае

Добавить комментарий