Η εταιρεία πληροφοριών Διαδικτύου GreyNoise αναφέρει ότι παρακολουθεί μεγάλα κύματα “Noise Storms” που περιέχουν πλαστογραφημένη διαδικτυακή κίνηση από τον Ιανουάριο του 2020. Ωστόσο, παρά την εκτεταμένη ανάλυση, δεν έχει καταλήξει στο συμπέρασμα της προέλευσης και του σκοπού της.
Αυτές οι καταιγίδες θορύβου υποψιάζονται ότι είναι κρυφές επικοινωνίες, σήματα συντονισμού επίθεσης DDoS, κανάλια μυστικών εντολών και ελέγχου (C2) λειτουργιών κακόβουλου λογισμικού ή αποτέλεσμα εσφαλμένης διαμόρφωσης.
Μια περίεργη πτυχή είναι η παρουσία μιας συμβολοσειράς ASCII “LOVE” στα πακέτα ICMP που δημιουργούνται, η οποία προσθέτει περαιτέρω εικασίες ως προς τον σκοπό τους και κάνει την υπόθεση πιο ενδιαφέρουσα.
Η GreyNoise δημοσίευσε αυτές τις πληροφορίες ελπίζοντας ότι η κοινότητα των ερευνητών στον τομέα της κυβερνοασφάλειας μπορεί να βοηθήσει στην επίλυση του μυστηρίου και να αποκαλύψει τι προκαλεί αυτές τις περίεργες καταιγίδες θορύβου.
Χαρακτηριστικά των ηχητικών καταιγίδων
Το GreyNoise παρατηρεί μεγάλα κύματα πλαστής κίνησης στο Διαδίκτυο που προέρχεται από εκατομμύρια πλαστές διευθύνσεις IP από διάφορες πηγές όπως το QQ, το WeChat και το WePay.
Οι «καταιγίδες» δημιουργούν τεράστια κίνηση που κατευθύνεται σε συγκεκριμένους παρόχους υπηρεσιών διαδικτύου όπως οι Cogent, Lumen και Hurricane Electric, αλλά αποφεύγουν άλλους, κυρίως τις υπηρεσίες Web Amazon (AWS).
Η κίνηση επικεντρώνεται κυρίως σε συνδέσεις TCP, ιδιαίτερα στοχεύοντας τη θύρα 443, αλλά υπάρχει επίσης μια πληθώρα πακέτων ICMP, τα οποία πρόσφατα περιλαμβάνουν μια ενσωματωμένη συμβολοσειρά ASCII “LOVE”, όπως φαίνεται παρακάτω.
Πηγή: BleepingComputer
Η κίνηση TCP προσαρμόζει επίσης παραμέτρους όπως τα μεγέθη παραθύρων για να μιμηθεί διαφορετικά λειτουργικά συστήματα, διατηρώντας τη δραστηριότητα κρυφή και δύσκολο να εντοπιστεί.
Οι τιμές Time to Live (TTL), οι οποίες υπαγορεύουν πόσο καιρό ένα πακέτο θα παραμείνει στο δίκτυο προτού απορριφθεί, ορίζονται μεταξύ 120 και 200 για να μοιάζουν με ρεαλιστικά άλματα δικτύου.
Συνολικά, η μορφή και τα χαρακτηριστικά αυτών των «θόρυβων θορύβου» υποδηλώνουν μια σκόπιμη προσπάθεια από έναν έμπειρο ηθοποιό παρά μια μεγάλης κλίμακας παρενέργεια μιας εσφαλμένης διαμόρφωσης.
Το GreyNoise καλεί για βοήθεια
Αυτή η παράξενη κίνηση μιμείται νόμιμες ροές δεδομένων και ενώ δεν είναι γνωστό αν είναι κακόβουλο, ο πραγματικός σκοπός της παραμένει μυστήριο.
GrayNoise δημοσιευμένες συλλήψεις πακέτων (PCAP) για δύο πρόσφατα γεγονότα καταιγίδας θορύβου στο GitHubκαλώντας τους ερευνητές της κυβερνοασφάλειας να συμμετάσχουν στην έρευνα και να συνεισφέρουν τις γνώσεις ή τις ανεξάρτητες ανακαλύψεις τους που θα βοηθήσουν στην επίλυση αυτού του μυστηρίου.
«Οι καταιγίδες θορύβου είναι μια υπενθύμιση ότι οι απειλές μπορούν να εκδηλωθούν με ασυνήθιστους και περίεργους τρόπους, υπογραμμίζοντας την ανάγκη για προσαρμοστικές στρατηγικές και εργαλεία που υπερβαίνουν τα παραδοσιακά μέτρα ασφαλείας». υπογραμμίζει το GreyNoise.
Μπορείτε να μάθετε περισσότερα για αυτές τις Noise Storms στο πρόσφατο βίντεο Storm Watch του GreyNoise, που φαίνεται παρακάτω.
VIA: bleepingcomputer.com
