İnternet istihbarat firması Greynoise, Ocak 2020'den bu yana sahtekarlık internet trafiği içeren büyük "gürültü fırtınaları" dalgalarını izlediğini bildirdi. Ancak, kapsamlı analize rağmen, kökenini ve amacını tamamlamadı.
Bu gürültü fırtınalarının gizli iletişim, DDOS saldırı koordinasyon sinyalleri, gizli yazılım işlemlerinin gizli komutu ve kontrol (C2) kanalları veya yanlış yapılandırmanın sonucu olduğundan şüpheleniliyor.
Meraklı bir yönü, oluşturulan ICMP paketlerinde "aşk" ASCII dizesinin varlığıdır, bu da amaçları konusunda daha fazla spekülasyon ekler ve davayı daha ilgi çekici hale getirir.
Geynoise, siber güvenlik araştırmacıları topluluğunun gizemi çözmeye yardımcı olabileceğini ve bu garip gürültü fırtınalarına neden olanı ortaya çıkarabileceğini umarak bu bilgileri yayınladı.
Grinnoise, QQ, Wechat ve Wepay gibi çeşitli kaynaklardan milyonlarca insanlık sahte IP adresinden gelen büyük sahte internet trafiği dalgaları gözlemliyor.
"Fırtınalar", Cogent, Lümen ve Hurricane Electric gibi belirli internet servis sağlayıcılarına yönelik büyük trafik yaratır, ancak en önemlisi Amazon Web Services (AWS) olmak üzere diğerlerinden kaçının.
Trafik esas olarak TCP bağlantılarına odaklanmaktadır, özellikle 443 numaralı bağlantı noktasını hedefleyen, ancak son zamanlarda aşağıda gösterildiği gibi, içinde yerleşik bir ASCII dizesi "Love" da dahil olmak üzere bol miktarda ICMP paketi vardır.
TCP trafiği, farklı işletim sistemlerini taklit etmek için pencere boyutları gibi parametreleri de ayarlar, aktiviteyi gizli ve belirlenmesi zor tutar.
Bir paketin atılmadan önce ağda ne kadar süre kaldığını belirleyen yaşama zamanı (TTL) değerleri, gerçekçi ağ atlamalarına benzemek için 120 ile 200 arasında ayarlanır.
Sonuç olarak, bu "gürültü fırtınalarının" biçimi ve özellikleri, yanlış yapılandırmanın büyük ölçekli bir yan etkisinden ziyade bilgili bir aktör tarafından kasıtlı bir çabayı göstermektedir.
Bu garip trafik meşru veri akışlarını taklit eder ve kötü niyetli olup olmadığı bilinmemekle birlikte, gerçek amacı bir gizem olarak kalır.
Greynoise, GitHub'daki son iki gürültü fırtınası etkinliği için paket yakalamaları (PCAP'ler) yayınladı ve siber güvenlik araştırmacılarını soruşturmaya katılmaya ve bu gizemi çözmeye yardımcı olacak bilgilerine veya bağımsız keşiflerine katkıda bulunmaya davet etti.
Geynoise, "Gürültü fırtınaları, tehditlerin olağandışı ve tuhaf yollarla ortaya çıkabileceğini, geleneksel güvenlik önlemlerinin ötesine geçen uyarlanabilir stratejilere ve araçlara duyulan ihtiyacı vurgulayabileceğini hatırlatıyor."
Greynoise'nin aşağıda gösterilen son Storm Watch videosundaki bu gürültü fırtınaları hakkında daha fazla bilgi edinebilirsiniz.
GSEC, CISSP ve daha fazla sertifika için bu 56 dolarlık paket anlaşması
Çalışanda çalışan sırasında siber risk nasıl azaltılır
Sertifikalı bir etik hacker olmak ister misiniz? Bu kurslar başlamanıza yardımcı olur
4 En İyi Güvenlik Otomasyonu Kullanım Örnekleri: Ayrıntılı Bir Kılavuz
Pahalı dersler için ödeme yapmadan önce bu siber güvenlik kurs paketine göz atın
Kaynak: Bleeping Computer