Тайна «LOVE»: скрытые послания в кибератаках?

С января 2020 года компания GreyNoise Intelligence отслеживает необычное явление в киберпространстве — масштабные волны поддельного трафика, получившие название «шумовые бури» (Noise Storms). Феномен ставит в тупик экспертов по кибербезопасности и создает новые сложные риски, требуя внимания специалистов по безопасности во всем мире.

Несмотря на продолжающиеся исследования, четкого объяснения происхождения этих таинственных «бурь» до сих пор нет. Эксперты выдвигают различные теории: от скрытых каналов связи и распределенных атак типа «отказ в обслуживании» (DDoS) до неправильно настроенных маршрутизаторов.

«Шумовые бури» характеризуются миллионами поддельных IP-адресов, генерирующих крайне необычную сетевую активность. Основная часть трафика направлена на порт 443 (HTTPS) и использует протокол ICMP. Интересно, что UDP-трафик практически отсутствует, что затрудняет обнаружение атак с помощью инструментов, настроенных на выявление UDP-атак.

Хотя последние данные указывают на Бразилию как на предполагаемый источник поддельных пакетов, эксперты считают, что это, вероятно, еще один уровень маскировки. Анализ показал связь автономной системы (ASN), ассоциированной с ICMP-трафиком, с сетью доставки контента (CDN), обслуживающей крупные китайские платформы, такие как QQ, WeChat и WePay. Эта связь вызывает дополнительные опасения о возможной причастности более сложных игроков.

«Шумовые бури» демонстрируют высокий уровень сложности и целенаправленности:

1. Интеллектуальная подмена TTL: значения Time To Live устанавливаются между 120 и 200, имитируя реалистичные сетевые переходы.
2. Эмуляция операционных систем: TCP-трафик искусно подделывает размеры окон для имитации пакетов от различных ОС.
3. Целевой подход: недавние «бури» стали более сфокусированными, атакуя меньшие сегменты интернета с повышенной интенсивностью.
4. Избирательный таргетинг: в то время как ранние «бури» затрагивали широкий спектр инфраструктуры, недавние события заметно обходят стороной AWS, продолжая влиять на других крупных провайдеров, таких как Cogent, Lumen и Hurricane Electric.

Любопытной особенностью недавних «шумовых бурь» является включение ASCII-строки «LOVE», встроенной в пакеты ICMP вместе с другими меняющимися байтами. Это кажущееся безобидным сообщение лишь добавляет интриги, заставляя экспертов задаваться вопросом, не служат ли эти «бури» скрытым каналом связи.

GreyNoise Intelligence призывает сетевых операторов и исследователей в области безопасности сохранять бдительность и сообщать о любых подобных наблюдениях, чтобы помочь разгадать эту продолжающуюся интернет-загадку. Компания опубликовала захваты пакетов (PCAPs) двух недавних «штормовых» событий на GitHub для изучения сообществом.

Эксперты GreyNoise Intelligence подчеркивают, что «шумовые бури» напоминают о том, что угрозы могут проявляться необычным и причудливым образом. Специалистам по безопасности рекомендуется:

• Приоритизировать важное: использовать инструменты, которые отсеивают нерелевантный шум и выделяют действительно опасные угрозы.
• Оптимизировать ресурсы: применять решения, снижающие количество ложных срабатываний.
• Действовать проактивно: предвидеть и снижать риски до того, как они вызовут сбои.
• Использовать практичную разведку: применять инструменты, способные обнаруживать аномалии трафика в реальном времени.