Тайна «LOVE»: скрытые послания в кибератаках?
NewsMakerGreyNoise Intelligence фиксирует загадочные «шумовые бури» в интернете.
С января 2020 года компания GreyNoise Intelligence отслеживает необычное явление в киберпространстве — масштабные волны поддельного трафика, получившие название «шумовые бури» (Noise Storms). Феномен ставит в тупик экспертов по кибербезопасности и создает новые сложные риски, требуя внимания специалистов по безопасности во всем мире.
Несмотря на продолжающиеся исследования, четкого объяснения происхождения этих таинственных «бурь» до сих пор нет. Эксперты выдвигают различные теории: от скрытых каналов связи и распределенных атак типа «отказ в обслуживании» (DDoS) до неправильно настроенных маршрутизаторов.
«Шумовые бури» характеризуются миллионами поддельных IP-адресов, генерирующих крайне необычную сетевую активность. Основная часть трафика направлена на порт 443 (HTTPS) и использует протокол ICMP . Интересно, что UDP-трафик практически отсутствует, что затрудняет обнаружение атак с помощью инструментов, настроенных на выявление UDP-атак.
Хотя последние данные указывают на Бразилию как на предполагаемый источник поддельных пакетов, эксперты считают, что это, вероятно, еще один уровень маскировки. Анализ показал связь автономной системы (ASN), ассоциированной с ICMP-трафиком, с сетью доставки контента (CDN), обслуживающей крупные китайские платформы, такие как QQ, WeChat и WePay. Эта связь вызывает дополнительные опасения о возможной причастности более сложных игроков.
«Шумовые бури» демонстрируют высокий уровень сложности и целенаправленности:
GreyNoise Intelligence призывает сетевых операторов и исследователей в области безопасности сохранять бдительность и сообщать о любых подобных наблюдениях, чтобы помочь разгадать эту продолжающуюся интернет-загадку. Компания опубликовала захваты пакетов (PCAPs) двух недавних «штормовых» событий на GitHub для изучения сообществом.
Эксперты GreyNoise Intelligence подчеркивают, что «шумовые бури» напоминают о том, что угрозы могут проявляться необычным и причудливым образом. Специалистам по безопасности рекомендуется:
С января 2020 года компания GreyNoise Intelligence отслеживает необычное явление в киберпространстве — масштабные волны поддельного трафика, получившие название «шумовые бури» (Noise Storms). Феномен ставит в тупик экспертов по кибербезопасности и создает новые сложные риски, требуя внимания специалистов по безопасности во всем мире.
Несмотря на продолжающиеся исследования, четкого объяснения происхождения этих таинственных «бурь» до сих пор нет. Эксперты выдвигают различные теории: от скрытых каналов связи и распределенных атак типа «отказ в обслуживании» (DDoS) до неправильно настроенных маршрутизаторов.
«Шумовые бури» характеризуются миллионами поддельных IP-адресов, генерирующих крайне необычную сетевую активность. Основная часть трафика направлена на порт 443 (HTTPS) и использует протокол ICMP . Интересно, что UDP-трафик практически отсутствует, что затрудняет обнаружение атак с помощью инструментов, настроенных на выявление UDP-атак.
Хотя последние данные указывают на Бразилию как на предполагаемый источник поддельных пакетов, эксперты считают, что это, вероятно, еще один уровень маскировки. Анализ показал связь автономной системы (ASN), ассоциированной с ICMP-трафиком, с сетью доставки контента (CDN), обслуживающей крупные китайские платформы, такие как QQ, WeChat и WePay. Эта связь вызывает дополнительные опасения о возможной причастности более сложных игроков.
«Шумовые бури» демонстрируют высокий уровень сложности и целенаправленности:
- Интеллектуальная подмена TTL: значения Time To Live устанавливаются между 120 и 200, имитируя реалистичные сетевые переходы.
- Эмуляция операционных систем: TCP-трафик искусно подделывает размеры окон для имитации пакетов от различных ОС.
- Целевой подход: недавние «бури» стали более сфокусированными, атакуя меньшие сегменты интернета с повышенной интенсивностью.
- Избирательный таргетинг: в то время как ранние «бури» затрагивали широкий спектр инфраструктуры, недавние события заметно обходят стороной AWS, продолжая влиять на других крупных провайдеров, таких как Cogent, Lumen и Hurricane Electric.
GreyNoise Intelligence призывает сетевых операторов и исследователей в области безопасности сохранять бдительность и сообщать о любых подобных наблюдениях, чтобы помочь разгадать эту продолжающуюся интернет-загадку. Компания опубликовала захваты пакетов (PCAPs) двух недавних «штормовых» событий на GitHub для изучения сообществом.
Эксперты GreyNoise Intelligence подчеркивают, что «шумовые бури» напоминают о том, что угрозы могут проявляться необычным и причудливым образом. Специалистам по безопасности рекомендуется:
- Приоритизировать важное: использовать инструменты, которые отсеивают нерелевантный шум и выделяют действительно опасные угрозы.
- Оптимизировать ресурсы: применять решения, снижающие количество ложных срабатываний.
- Действовать проактивно: предвидеть и снижать риски до того, как они вызовут сбои.
- Использовать практичную разведку: применять инструменты, способные обнаруживать аномалии трафика в реальном времени.