Compania de informații online GreyNoise raportează că a fost în urmărirea unor valuri mari de ‘Furtuni de Zgomot’ care conțin trafic internet falsificat încă din ianuarie 2020. Cu toate acestea, în ciuda analizelor extinse, nu a reușit să-și concluzioneze originea și scopul.
Aceste Furtuni de Zgomot sunt suspectate a fi comunicări secrete, semnale de coordonare a atacurilor DDoS, canale clandestine de comandă și control (C2) ale operațiunilor de malware sau rezultatul unei configurări greșite.
Un aspect curios este prezența unui șir ASCII ‘LOVE’ în pachetele ICMP generate, ceea ce adaugă mai multe speculații asupra scopului lor și face cazul mai intrigant.
GreyNoise a publicat aceste informații sperând că comunitatea de cercetători în securitate cibernetică poate ajuta la rezolvarea misterului și la descoperirea a ceea ce provoacă aceste stranii furtuni de zgomot.
GreyNoise observă valuri mari de trafic internet falsificat provenind de la milioane de adrese IP falsificate din surse diverse precum QQ, WeChat și WePay.
‘Furtunile’ creează un trafic masiv direcționat către anumiți furnizori de servicii internet precum Cogent, Lumen și Hurricane Electric, dar evită alții, cel mai notabil Amazon Web Services (AWS).
Traficul se concentrează în principal pe conexiuni TCP, vizând în special portul 443, dar există și o abundanță de pachete ICMP, incluzând recent un șir ASCII ‘LOVE’ încorporat în ele, așa cum este arătat mai jos.
Traficul TCP ajustează, de asemenea, parametri precum dimensiunile ferestrelor pentru a emula diferite sisteme de operare, menținând activitatea furtivă și greu de identificat.
Valorile Time to Live (TTL), care dictează cât timp rămâne un pachet în rețea înainte de a fi eliminat, sunt setate între 120 și 200 pentru a semăna cu salturile reale din rețea.
În final, forma și caracteristicile acestor ‘furtuni de zgomot’ indică un efort deliberat al unui actor informat, mai degrabă decât un efect secundar la scară largă al unei configurări greșite.
Acest trafic ciudat imită fluxurile de date legitime, și deși nu se știe dacă este malefic, adevăratul său scop rămâne un mister.
GreyNoise a publicat capturi de pachete (PCAPs) pentru două evenimente recente de furtuni de zgomot pe GitHub, invitând cercetătorii în securitate cibernetică să se alăture investigației și să-și aducă contribuțiile sau descoperirile independente care vor ajuta la rezolvarea acestui mister.
‘Furtunile de Zgomot sunt un avertisment că amenințările pot să se manifeste în moduri neobișnuite și bizare, subliniind necesitatea de strategii adaptive și instrumente care depășesc măsurile de securitate tradiționale,’ subliniază GreyNoise.
Puteți afla mai multe despre aceste Furtuni de Zgomot în videoclipul recent Storm Watch al GreyNoise, arătat mai jos.
Cum să reduci riscul cibernetic în timpul integrării angajaților
Vrei să fii un hacker etic certificat? Aceste cursuri te ajută să începi
4 Cazuri de Utilizare Principale ale Automatizării Securității: Un Ghid Detaliat
Verifică acest pachet de cursuri de securitate cibernetică înainte de a plăti pentru clase scumpe
E aproape momentul decisiv – dar nu trebuie să ratezi mWISE
Leave a Reply