Специалисты компании GreyNoise сообщили, что с января 2020 года они наблюдают крупные волны «шумовых бурь» (Noise Storms), которые содержат искаженный интернет-трафик. Несмотря на тщательный анализ и годы наблюдений, исследователи так и не сумели установить происхождение и назначение этих «шумов».
Аналитики полагают, что «шумы» могут быть связаны с некими секретными коммуникациями, сигналами для координации DDoS-атак, скрытыми каналами управления вредоносными программами или вообще могут являться результатом неправильных настроек.
Интересным аспектом происходящего является и наличие ASCII-строки «LOVE» в наблюдаемых ICMP-пакетах, что еще больше запутывает ситуацию.
GreyNoise опубликовала свои догадки о «шумовых бурях» в надежде, что мировое сообщество ИБ-специалистов поможет разгадать эту загадку и выяснить причину возникновения аномалий в трафике.
Исследователи рассказали, что наблюдают волны поддельного интернет-трафика, исходящие с миллионов спуфинговых IP-адресов из различных источников, включая CDN китайских платформ QQ, WeChat и WePay.
Такие «бури» порождают масштабные волны трафика, направленные на конкретных провайдеров (например Cogent, Lumen и Hurricane Electric), при этом избегая других, в частности — Amazon Web Services (AWS).
В основном такой трафик сосредоточен на TCP-соединениях (особенно через порт 443), но также наблюдается множество ICMP-пакетов, в последнее время содержащих встроенную ASCII-строку «LOVE», как показано на скриншоте ниже.
Также отмечается, что в TCP-трафике изменяются такие параметры, как размер окна, для эмуляции различных ОС, что позволяет сделать эту активность более незаметной и с трудом поддающейся обнаружению.
Значения Time to Live (TTL), которые определяют, как долго пакет находится в сети, прежде чем будет отброшен, установлены в диапазоне от 120 до 200, чтобы имитировать настоящие сетевые переходы.
Исследователи говорят, что в целом, формат и характеристики этих «шумовых бурь» скорее выглядят как целенаправленная работа компетентного человека, а не как масштабные побочные эффекты от неправильных конфигураций.
То есть странный трафик имитирует обычные потоки данных, а его истинное предназначение все еще остается загадкой.
Аналитики GreyNoise уже опубликовали на GitHub PCAP-данные двух недавних «шумовых бурь», приглашая других ИБ-исследователей присоединиться к расследованию и поделиться своими соображениями о происходящем.
Детальный рассказ о своих выводах относительно «шумовых бурь» эксперты GreyNoise опубликовали и на YouTube.
