В мире кибербезопасности появилось новое загадочное явление, которое озадачило даже опытных специалистов. Компания GreyNoise, занимающаяся мониторингом интернет-трафика, сообщила о наблюдении крупномасштабных волн аномального сетевого трафика, названных «шумовыми бурями» (Noise Storms). Эти необычные паттерны трафика, впервые замеченные в январе 2020 года, продолжают ставить в тупик исследователей своим неясным происхождением и назначением.
Характеристики «шумовых бурь»
Аналитики GreyNoise выделили несколько ключевых особенностей этих аномальных волн трафика:
- Использование миллионов поддельных (спуфинговых) IP-адресов, включая адреса из CDN китайских платформ QQ, WeChat и WePay
- Направленность на конкретных интернет-провайдеров, таких как Cogent, Lumen и Hurricane Electric, при одновременном избегании других (например, Amazon Web Services)
- Преобладание TCP-соединений, особенно через порт 443, а также наличие множества ICMP-пакетов
- Присутствие ASCII-строки «LOVE» в ICMP-пакетах
- Эмуляция различных операционных систем путем изменения параметров TCP-трафика
- Установка значений Time to Live (TTL) в диапазоне от 120 до 200 для имитации реальных сетевых переходов
Возможные причины и теории
Несмотря на тщательный анализ, эксперты GreyNoise не смогли определить точную причину возникновения «шумовых бурь». Среди возможных объяснений рассматриваются следующие версии:
- Секретные коммуникации неизвестных групп или организаций
- Сигналы для координации DDoS-атак
- Скрытые каналы управления вредоносным программным обеспечением
- Результат неправильных настроек сетевого оборудования или программного обеспечения
Однако исследователи склоняются к мнению, что формат и характеристики «шумовых бурь» больше похожи на целенаправленную работу компетентного специалиста, чем на случайные побочные эффекты неверных конфигураций.
Призыв к сотрудничеству
Осознавая сложность и потенциальную важность этого феномена, GreyNoise обратилась к мировому сообществу специалистов по информационной безопасности с призывом о помощи. Компания опубликовала на GitHub PCAP-данные двух недавних «шумовых бурь», а также разместила подробный анализ своих наблюдений на YouTube. Это открытое приглашение к сотрудничеству направлено на объединение усилий экспертов для разгадки тайны происхождения и назначения аномального трафика.
Появление «шумовых бурь» подчеркивает постоянно меняющийся характер угроз в киберпространстве и важность бдительности в области сетевой безопасности. Независимо от истинной природы этого явления, оно служит напоминанием о необходимости постоянного мониторинга, анализа и совершенствования методов защиты цифровой инфраструктуры. Дальнейшие исследования и сотрудничество экспертов могут не только раскрыть тайну «шумовых бурь», но и привести к развитию новых стратегий обнаружения и предотвращения сложных киберугроз.
