Aufklärungsoperation via cfpro.ru
In den vergangenen Tagen wurde ich im Rahmen meines Betriebs der CenturionDNS-Resolver, einer gehärteten, auf hohe Resilienz ausgelegten DNS-Resolver-Infrastruktur, Ziel einer orchestrierten Serie von DNS-Anfragen. Diese wiesen eine beunruhigende Kohärenz hinsichtlich Quelle, Frequenz und Struktur auf. Die Analyse offenbarte ein ausgeklügeltes Reconnaissance-Schema mit klaren Attributionsmerkmalen, das sich unter dem Deckmantel legitimer DNS-Protokollmechanismen verbarg.
Kartierung rekursiver Resolver weltweit
Die Attacken, die sich primär durch hochvolumige TXT-Queries gegen die Zone cfpro.ru manifestierten, lassen sich als infrastrukturelle Aufklärungsoperation einordnen. Die betreffende Domain wird – trotz .ru-TLD – über Cloudflare resolviert und verfügt über signierte TXT-Records mit einem charakteristischen Payload-Muster: txtchecksum-<base64>. Die Antwortpakete übersteigen regelmäßig 10 kB und sind DNSSEC-validiert. Dies deutet auf eine gezielte Amplification-Vorbereitung hin – allerdings ohne den Einsatz gespoofter IPs. Ziel ist nicht die Störung, sondern die systematische Identifikation, Katalogisierung und Klassifikation offener DNS-Resolver.
Indizien einer strategischen Vermessung
Die eingehenden Anfragen folgen einem klar definierten Schema:
- Query-Typ:
TXTmit DNSSEC (RRSIG) - EDNS0: Large Buffer Size (>10 000 B)
- Query-Frequenz: ~8’000 Anfragen pro Resolver und Tag
- Source-IP-Muster: Dominanz chinesischer ASN (z. B.
AS4134,AS4837,AS37963) - Kein Content-basiertes Verhalten (keine A/AAAA/MX/SPF-Records)
Die Verwendung einer .ru-Domain mit Cloudflare-Namensservern (z. B. danica.ns.cloudflare.com) verhindert eine einfache Attribution über Web-Inhalte oder IP-Ownership.
Einordnung im Diamond Model & MITRE ATT&CK
In der Methodologie des Diamond Model lassen sich die vier Eckpunkte wie folgt spezifizieren:
- Adversary: Wahrscheinlich staatlich gestützter chinesischer Akteur (z. B. „Muddling Meerkat“)
- Capability: DNS Amplification, globale Resolver-Vermessung
- Infrastructure: Domain
cfpro.ruvia Cloudflare, künstlich aufgeblähte DNSSEC-Zone - Victim: Offene rekursive Resolver, darunter explizit auch sämtliche DNS-Resolver des CenturionDNS-Verbunds
Im Rahmen des MITRE ATT&CK Frameworks fällt die Operation vorrangig unter folgende TTPs:
| Taktik | Technik | Beschreibung |
|---|---|---|
| Reconnaissance | T1595 – Active Scanning | Systematische Resolver-Kartierung |
| Reconnaissance | T1596 – Open Databases | Testen von Antwortverhalten |
| C2 | T1071.004 – DNS | DNS als potenzieller Ausleitungskanal |
| Impact | T1498 – Network DoS Preparation | Vorbereitung für spätere Abuse-Kampagnen |
| Defense Evasion | T1568.002 – Domain Trust Abuse | Nutzung legitimer TLDs zur Tarnung |
Verdachtsmomente und geopolitische Attribution
Besonders augenfällig ist die überproportionale Präsenz chinesischer IP-Blöcke in den Abfragequellen. In Kombination mit der fehlenden Spoofing-Komponente und der signierten DNS-Infrastruktur ergibt sich das Bild eines kontrollierten Recon-Vektors, vermutlich aus dem akademischen oder semi-staatlichen Raum. In der Literatur wurden vergleichbare Operationen u. a. dem Akteur „Muddling Meerkat“ zugeordnet.
Bemerkenswert ist, dass keine direkte Command-and-Control-Aktivität über cfpro.ru erfolgt. Dies deutet auf ein gestuftes Modell hin: Zunächst wird die globale DNS-Landschaft vermessen und analysiert – spätere Angriffswellen können dann selektiv auf besonders anfällige Resolver zugreifen.
Warum diese Operation unter dem Radar bleibt
Trotz ihres Umfangs und der technischen Raffinesse wurde cfpro.ru bislang in keiner einschlägigen Threat Intelligence-Blockliste erfasst. Dies liegt unter anderem an:
- Der DNS-zentrierten Natur der Operation – ohne Web-Content, Payload oder Malwareverteilung
- Der Verwendung legitimer TLDs und Registrar-Infrastrukturen
- Dem Fehlen direkter Endpunktwirkungen, wodurch die Domain von klassischen Engines als „inaktiv“ eingestuft wird
- Dem Missverhältnis zwischen hohem Analyseaufwand und unklarem unmittelbarem Risiko für nicht-sicherheitsbewusste Betreiber
Aufklärung als Vorstufe strategischer Missbrauchspotenziale
Die Operation rund um cfpro.ru ist kein banaler Scan-Versuch, sondern ein gut orchestrierter Akt infrastruktureller Aufklärung im Cyberspace. Sie erinnert frappierend an klassische militärische Reconnaissance: keine direkte Zerstörung – aber präzise Vermessung potentieller Ziele. Für Betreiber von DNS-Infrastrukturen, insbesondere solchen mit hoher Exponierung, bedeutet dies: Man wird längst erfasst, bevor der eigentliche Angriff beginnt.
Ich empfehle die Implementierung verfeinerter Monitoring-Strategien für DNS-Traffic – insbesondere im Hinblick auf signierte TXT-Anfragen aus spezifischen Regionen und ASN-Clustern. Nur wer seine eigene Oberfläche kennt, kann sich gezielt schützen.