Seit Januar 2020 beobachten Cybersecurity-Experten der Firma GreyNoise ein rätselhaftes Phänomen im globalen Internetverkehr: massive Wellen gefälschten Datenverkehrs, die als „Noise Storms“ (Lärmstürme) bezeichnet werden. Trotz umfangreicher Analysen konnten die Forscher bislang weder den Ursprung noch den Zweck dieser Anomalien eindeutig bestimmen.
Charakteristika der „Noise Storms“
Die beobachteten „Noise Storms“ weisen mehrere bemerkenswerte Eigenschaften auf:
- Millionen gefälschter IP-Adressen, darunter solche von chinesischen CDN-Plattformen wie QQ, WeChat und WePay
- Gezielte Ausrichtung auf bestimmte Internetprovider wie Cogent, Lumen und Hurricane Electric
- Vermeidung anderer Anbieter, insbesondere Amazon Web Services (AWS)
- Fokus auf TCP-Verbindungen, vor allem über Port 443
- Zahlreiche ICMP-Pakete mit eingebettetem ASCII-String „LOVE“
Technische Details und Verschleierungstaktiken
Die Analyse des anomalen Datenverkehrs offenbart ausgeklügelte Techniken zur Verschleierung seiner Herkunft und Natur:
- Manipulation von TCP-Parametern wie der Fenstergröße zur Emulation verschiedener Betriebssysteme
- Time-to-Live (TTL) Werte zwischen 120 und 200, um echte Netzwerksprünge zu simulieren
- Sorgfältige Nachahmung normaler Datenströme, was auf ein gezieltes und kompetentes Vorgehen hindeutet
Mögliche Erklärungen und Hypothesen
Die Cybersecurity-Experten von GreyNoise haben verschiedene Hypothesen zur Natur der „Noise Storms“ aufgestellt:
- Geheime Kommunikationskanäle für verdeckte Operationen
- Koordinierungssignale für verteilte Denial-of-Service (DDoS) Angriffe
- Versteckte Command-and-Control-Infrastruktur für Malware
- Unbeabsichtigte Folgen von Fehlkonfigurationen in großen Netzwerken
Die Präsenz des ASCII-Strings „LOVE“ in den ICMP-Paketen fügt dem Rätsel eine weitere enigmatische Dimension hinzu und erschwert die Entschlüsselung des Phänomens.
Aufruf zur kollaborativen Forschung
Um das Geheimnis der „Noise Storms“ zu lüften, hat GreyNoise PCAP-Daten von zwei kürzlich beobachteten Vorfällen auf GitHub veröffentlicht. Die Firma lädt die globale Cybersecurity-Community ein, sich an der Untersuchung zu beteiligen und ihre Erkenntnisse zu teilen. Zusätzlich wurde ein detaillierter Bericht über die Beobachtungen und vorläufigen Schlussfolgerungen auf YouTube veröffentlicht.
Die „Noise Storms“ stellen die Cybersecurity-Gemeinschaft vor ein faszinierendes Rätsel. Ihre Entschlüsselung könnte wichtige Einblicke in neue Formen der Netzwerkkommunikation, Angriffsvektoren oder bisher unbekannte Sicherheitsrisiken liefern. Es bleibt abzuwarten, ob die kollektiven Bemühungen der Sicherheitsexperten weltweit Licht in dieses Mysterium bringen werden. Bis dahin bleiben Wachsamkeit und kontinuierliche Beobachtung des Phänomens von größter Bedeutung für die Sicherheit des globalen Internets.