Inexplicables «tormentas de ruido» inundan Internet y desvelan a los expertos

Iniciado por AXCESS, Septiembre 22, 2024, 01:49:34 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 22, 2024, 01:49:34 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La empresa de inteligencia de Internet GreyNoise informa que ha estado rastreando grandes oleadas de "Tormentas de ruido" que contienen tráfico de Internet falsificado desde enero de 2020. Sin embargo, a pesar de un análisis exhaustivo, no ha llegado a una conclusión sobre su origen y propósito.

Se sospecha que estas Tormentas de ruido son comunicaciones encubiertas, señales de coordinación de ataques DDoS, canales clandestinos de comando y control (C2) de operaciones de malware o el resultado de una configuración incorrecta.

Un aspecto curioso es la presencia de una cadena ASCII "LOVE" en los paquetes ICMP generados, lo que agrega más especulación sobre su propósito y hace que el caso sea más intrigante.

GreyNoise publicó esta información con la esperanza de que la comunidad de investigadores de ciberseguridad pueda ayudar a resolver el misterio y descubrir qué está causando estas extrañas tormentas de ruido.

Características de las tormentas de ruido

GreyNoise observa grandes olas de tráfico de Internet falsificado que provienen de millones de direcciones IP falsificadas de varias fuentes, como QQ, WeChat y WePay.

Las "tormentas" crean tráfico masivo dirigido a proveedores de servicios de Internet específicos como Cogent, Lumen y Hurricane Electric, pero evitan otros, en particular Amazon Web Services (AWS).

El tráfico se centra principalmente en las conexiones TCP, en particular el puerto 443, pero también hay una gran cantidad de paquetes ICMP, que últimamente incluyen una cadena ASCII "LOVE" incrustada en ellos, como se muestra a continuación.

Paquetes ICMP que contienen la cadena "Love"
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El tráfico TCP también ajusta parámetros como el tamaño de las ventanas para emular diferentes sistemas operativos, manteniendo la actividad oculta y difícil de detectar.

Los valores de tiempo de vida (TTL), que dictan cuánto tiempo permanece un paquete en la red antes de ser descartado, se establecen entre 120 y 200 para parecerse a saltos de red realistas.

En general, la forma y las características de estas "tormentas de ruido" indican un esfuerzo deliberado por parte de un actor con conocimiento en lugar de un efecto secundario a gran escala de una configuración incorrecta.

GreyNoise pide ayuda

Este tráfico extraño imita flujos de datos legítimos y, si bien no se sabe si es malicioso, su verdadero propósito sigue siendo un misterio.

GreyNoise publicó capturas de paquetes (PCAP) para dos eventos recientes de tormentas de ruido en GitHub, invitando a los investigadores de ciberseguridad a unirse a la investigación y contribuir con sus conocimientos o descubrimientos independientes que ayudarán a resolver este misterio.

"Las tormentas de ruido son un recordatorio de que las amenazas pueden manifestarse de formas inusuales y extrañas, lo que pone de relieve la necesidad de estrategias y herramientas adaptativas que vayan más allá de las medidas de seguridad tradicionales", subraya GreyNoise.


Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario