İnternet istihbarat firması GreyNoise, Ocak 2020’den bu yana sahte internet trafiği içeren büyük “Gürültü Fırtınaları” dalgalarını izlediğini bildiriyor. Ancak kapsamlı analizlere rağmen, kökeni ve amacı konusunda bir sonuca varamadı.
Bu Gürültü Fırtınalarının gizli iletişimler, DDoS saldırı koordinasyon sinyalleri, kötü amaçlı yazılım operasyonlarının gizli komuta ve kontrol (C2) kanalları veya yanlış yapılandırmanın sonucu olduğu düşünülüyor.
İlginç bir husus ise, üretilen ICMP paketlerinde “LOVE” ASCII dizisinin bulunmasıdır; bu, bunların amacı hakkında daha fazla spekülasyona yol açıyor ve olayı daha da ilgi çekici hale getiriyor.
GreyNoise, siber güvenlik araştırmacıları topluluğunun gizemi çözmesine ve bu garip gürültü fırtınalarına neyin sebep olduğunu ortaya çıkarmasına yardımcı olabileceğini umarak bu bilgiyi yayınladı.
Gürültü fırtınalarının özellikleri
GreyNoise, QQ, WeChat ve WePay gibi çeşitli kaynaklardan gelen milyonlarca sahte IP adresinden gelen büyük sahte internet trafiği dalgalarını gözlemliyor.
“Fırtınalar” Cogent, Lumen ve Hurricane Electric gibi belirli internet servis sağlayıcılarına yönlendirilen yoğun bir trafik yaratıyor ancak diğerlerinden, özellikle de Amazon Web Services’tan (AWS) uzak duruyor.
Trafik çoğunlukla TCP bağlantılarına odaklanıyor, özellikle 443 portunu hedefliyor, ancak son zamanlarda içlerine gömülü bir ASCII dizesi “LOVE” da eklenmiş bol miktarda ICMP paketi de var, aşağıda gösterildiği gibi.
Kaynak: BleepingComputer
TCP trafiği ayrıca farklı işletim sistemlerini taklit etmek için pencere boyutları gibi parametreleri de ayarlayarak etkinliği gizli ve tespit edilmesi zor tutar.
Bir paketin atılmadan önce ağda ne kadar süre kalacağını belirleyen Yaşam Süresi (TTL) değerleri, gerçekçi ağ sıçramalarına benzemesi için 120 ile 200 arasına ayarlanır.
Sonuç olarak, bu “gürültü fırtınalarının” biçimi ve özellikleri, yanlış bir yapılandırmanın geniş çaplı bir yan etkisi olmaktan ziyade, bilgili bir aktörün kasıtlı bir çabasına işaret ediyor.
GreyNoise yardım çağrısında bulundu
Bu garip trafik, meşru veri akışlarını taklit ediyor ve kötü amaçlı olup olmadığı bilinmemekle birlikte gerçek amacı hala bir sır olarak kalıyor.
GreyNoise, GitHub’da son iki gürültü fırtınası olayına ait paket yakalamalarını (PCAP’ler) yayınlayarak siber güvenlik araştırmacılarını araştırmaya katılmaya ve bu gizemi çözmeye yardımcı olacak içgörülerini veya bağımsız keşiflerini katkıda bulunmaya davet etti.
GreyNoise, “Gürültü Fırtınaları, tehditlerin alışılmadık ve tuhaf şekillerde ortaya çıkabileceğinin bir hatırlatıcısı olup, geleneksel güvenlik önlemlerinin ötesine geçen uyarlanabilir stratejilere ve araçlara olan ihtiyacı vurgulamaktadır” diye vurguluyor.
Bu Gürültü Fırtınaları hakkında daha fazla bilgiyi aşağıda gösterilen GreyNoise’un son Fırtına İzleme videosunda öğrenebilirsiniz.