Експерти з кібербезпеки компанії GreyNoise виявили тривожну тенденцію – масштабні хвилі аномального інтернет-трафіку, які вони назвали “шумовими бурями” (Noise Storms). Ці загадкові явища спостерігаються з початку 2020 року і досі не мають чіткого пояснення, незважаючи на ретельний аналіз фахівців.
Характеристики “шумових бурь” та їх можливе призначення
“Шумові бурі” являють собою масивні потоки спотвореного мережевого трафіку, що надходять з мільйонів підроблених IP-адрес. Джерелами цього трафіку часто виступають CDN китайських платформ, таких як QQ, WeChat і WePay. Аналітики GreyNoise припускають, що ці аномалії можуть бути пов’язані з:
- Прихованими каналами комунікації
- Координацією DDoS-атак
- Управлінням шкідливим програмним забезпеченням
- Невідомими експериментами або неправильними налаштуваннями мережевого обладнання
Технічні особливості аномального трафіку
Дослідники виявили ряд цікавих технічних аспектів “шумових бурь”:
- Концентрація на TCP-з’єднаннях, особливо через порт 443
- Наявність великої кількості ICMP-пакетів
- Присутність ASCII-рядка “LOVE” в ICMP-пакетах
- Маніпуляції з параметрами TCP-трафіку для імітації різних операційних систем
- Встановлення значень Time to Live (TTL) в діапазоні 120-200 для імітації реальних мережевих переходів
Цілеспрямованість атак та уникнення виявлення
Аномальний трафік спрямований на конкретних провайдерів, таких як Cogent, Lumen і Hurricane Electric, при цьому оминаючи інших, наприклад, Amazon Web Services (AWS). Це свідчить про високий рівень складності та цілеспрямованості “шумових бурь”.
Заклик до спільного розслідування
GreyNoise опублікувала свої знахідки та PCAP-дані недавніх “шумових бурь” на GitHub, закликаючи світову спільноту фахівців з інформаційної безпеки долучитися до розслідування. Компанія також розмістила детальний аналіз на YouTube, сподіваючись на колективні зусилля у розгадці цієї кібернетичної загадки.
Ситуація з “шумовими бурями” підкреслює важливість постійного моніторингу та аналізу мережевого трафіку. Ця загадка демонструє, наскільки складними та непередбачуваними можуть бути сучасні кіберзагрози. Фахівцям з інформаційної безпеки рекомендується підвищити пильність та вдосконалити інструменти виявлення аномалій у мережевому трафіку, щоб своєчасно реагувати на подібні явища та захищати критично важливу інфраструктуру.