GreyNoise Intelligence фиксирует загадочные «шумовые бури» в интернете.
С января 2020 года компания GreyNoise Intelligence отслеживает необычное явление в киберпространстве — масштабные волны поддельного трафика, получившие название «шумовые бури» (Noise Storms). Феномен ставит в тупик экспертов по кибербезопасности и создает новые сложные риски, требуя внимания специалистов по безопасности во всем мире.
Несмотря на продолжающиеся исследования, четкого объяснения происхождения этих таинственных «бурь» до сих пор нет. Эксперты выдвигают различные теории: от скрытых каналов связи и распределенных атак типа «отказ в обслуживании» (DDoS) до неправильно настроенных маршрутизаторов.
«Шумовые бури» характеризуются миллионами поддельных IP-адресов, генерирующих крайне необычную сетевую активность. Основная часть трафика направлена на порт 443 (HTTPS) и использует протокол ICMP. Интересно, что UDP-трафик практически отсутствует, что затрудняет обнаружение атак с помощью инструментов, настроенных на выявление UDP-атак.
Хотя последние данные указывают на Бразилию как на предполагаемый источник поддельных пакетов, эксперты считают, что это, вероятно, еще один уровень маскировки. Анализ показал связь автономной системы (ASN), ассоциированной с ICMP-трафиком, с сетью доставки контента (CDN), обслуживающей крупные китайские платформы, такие как QQ, WeChat и WePay. Эта связь вызывает дополнительные опасения о возможной причастности более сложных игроков.
«Шумовые бури» демонстрируют высокий уровень сложности и целенаправленности:
Любопытной особенностью недавних «шумовых бурь» является включение ASCII-строки «LOVE», встроенной в пакеты ICMP вместе с другими меняющимися байтами. Это кажущееся безобидным сообщение лишь добавляет интриги, заставляя экспертов задаваться вопросом, не служат ли эти «бури» скрытым каналом связи.
GreyNoise Intelligence призывает сетевых операторов и исследователей в области безопасности сохранять бдительность и сообщать о любых подобных наблюдениях, чтобы помочь разгадать эту продолжающуюся интернет-загадку. Компания опубликовала захваты пакетов (PCAPs) двух недавних «штормовых» событий на GitHub для изучения сообществом.
Эксперты GreyNoise Intelligence подчеркивают, что «шумовые бури» напоминают о том, что угрозы могут проявляться необычным и причудливым образом. Специалистам по безопасности рекомендуется:
Большой взрыв знаний каждый день в вашем телефоне