SecShow: китайский монстр атакует DNS

Исследователи кибербезопасности раскрыли деятельность китайской группы под кодовым названием SecShow, которая проводит глобальные атаки через систему доменных имён (DNS) с июня 2023 года.

По данным экспертов компании Infoblox, SecShow работает через китайскую образовательно-исследовательскую сеть (CERNET), активно финансируемую местным правительством.

«Эти атаки направлены на обнаружение и измерение ответов DNS на открытых резолверах», говорится в отчёте. «Конечная цель операций SecShow неизвестна. Собранная сейчас информация хоть и может использоваться в злонамеренных целях, но пока что полезна только для самих атакующих».

Есть предположения, что операция может быть связана с научными исследованиями, включающими измерения с использованием IP-спуфинга на доменах «secshow[.]net», аналогично проекту Closed Resolver Project. Однако это порождает ещё больше вопросов, включая цель сбора данных и смысл использования общего Gmail-адреса для обратной связи.

Открытые резолверы — это DNS-серверы, которые могут принимать и обрабатывать доменные имена от любого пользователя в Интернете, что делает их уязвимыми для DDoS-атак, таких как DNS-усиление (DNS Amplification).

Основой атак является использование серверов имён CERNET для идентификации открытых DNS-резолверов и расчёта DNS-ответов. Процесс включает отправку DNS-запроса с неопределённого источника на открытый резолвер, заставляя сервер имён SecShow возвращать случайный IP-адрес.

Интересно, что эти серверы имён настроены возвращать новый случайный IP-адрес при каждом запросе с другого открытого резолвера, что вызывает увеличение числа запросов благодаря программному продукту Cortex Xpanse от Palo Alto.

«Cortex Xpanse рассматривает доменное имя в DNS-запросе как URL и пытается получить контент с случайного IP-адреса для этого доменного имени», — объясняют исследователи. «Межсетевые экраны, такие как Palo Alto и Check Point, а также другие устройства безопасности, выполняют фильтрацию URL при получении запроса от Cortex Xpanse».

Этот процесс фильтрации инициирует новый DNS-запрос для домена, что заставляет сервер имён возвращать другой случайный IP-адрес, создавая бесконечный цикл запросов.

Некоторые аспекты этих сканирований ранее уже были раскрыты исследователями Dataplane.org и Unit 42. В то же время, сервера имён SecShow перестали отвечать на запросы с середины мая 2024 года.

«В данный момент известного воздействия на сети клиентов нет, за исключением незначительного увеличения активности разрешения DNS для определения, является ли домен злонамеренным», — сообщили эксперты Palo Alto Networks. «Xpanse имеет возможность исключать определённые домены, и по мере идентификации новых командных серверов они добавляются в список блокировки. Мы продолжим внимательно следить и добавлять в блок-лист релевантные домены».

SecShow является второй китайской группой злоумышленников после Muddling Meerkat, выполняющим масштабные DNS-атаки. «Запросы Muddling Meerkat смешивались с глобальным DNS-трафиком и оставались незамеченными более четырёх лет, в то время как запросы SecShow прозрачны и включают информацию об IP-адресах и измерительной информации», — пояснили исследователи.