Специалисты компании GreyNoise сообщили, что с января 2020 года они наблюдают крупные волны «шумовых бурь» (Noise Storms), которые содержат искаженный интернет-трафик. Несмотря на тщательный анализ и годы наблюдений, исследователи так и не сумели установить происхождение и назначение этих «шумов».

Аналитики полагают, что «шумы» могут быть связаны с некими секретными коммуникациями, сигналами для координации DDoS-атак, скрытыми каналами управления вредоносными программами или вообще могут являться результатом неправильных настроек.

Интересным аспектом происходящего является и наличие ASCII-строки «LOVE» в наблюдаемых ICMP-пакетах, что еще больше запутывает ситуацию.

GreyNoise опубликовала свои догадки о «шумовых бурях» в надежде, что мировое сообщество ИБ-специалистов поможет разгадать эту загадку и выяснить причину возникновения аномалий в трафике.

Исследователи рассказали, что наблюдают волны поддельного интернет-трафика, исходящие с миллионов спуфинговых IP-адресов из различных источников, включая CDN китайских платформ QQ, WeChat и WePay.

Такие «бури» порождают масштабные волны трафика, направленные на конкретных провайдеров (например Cogent, Lumen и Hurricane Electric), при этом избегая других, в частности — Amazon Web Services (AWS).

В основном такой трафик сосредоточен на TCP-соединениях (особенно через порт 443), но также наблюдается множество ICMP-пакетов, в последнее время содержащих встроенную ASCII-строку «LOVE», как показано на скриншоте ниже.

Также отмечается, что в TCP-трафике изменяются такие параметры, как размер окна, для эмуляции различных ОС, что позволяет сделать эту активность более незаметной и с трудом поддающейся обнаружению.

Значения Time to Live (TTL), которые определяют, как долго пакет находится в сети, прежде чем будет отброшен, установлены в диапазоне от 120 до 200, чтобы имитировать настоящие сетевые переходы.

Исследователи говорят, что в целом, формат и характеристики этих «шумовых бурь» скорее выглядят как целенаправленная работа компетентного человека, а не как масштабные побочные эффекты от неправильных конфигураций.

То есть странный трафик имитирует обычные потоки данных, а его истинное предназначение все еще остается загадкой.

Аналитики GreyNoise уже опубликовали на GitHub PCAP-данные двух недавних «шумовых бурь», приглашая других ИБ-исследователей присоединиться к расследованию и поделиться своими соображениями о происходящем.

Детальный рассказ о своих выводах относительно «шумовых бурь» эксперты GreyNoise опубликовали и на YouTube.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии