La empresa de inteligencia de Internet GreyNoise informa que ha estado rastreando grandes olas de «tormentas de ruido» que contienen tráfico de Internet falsificado desde enero de 2020. Sin embargo, a pesar de un análisis exhaustivo, no ha llegado a una conclusión sobre su origen y propósito.
Se sospecha que estas tormentas de ruido son comunicaciones encubiertas, señales de coordinación de ataques DDoS, canales clandestinos de comando y control (C2) de operaciones de malware o el resultado de una mala configuración.
Un aspecto curioso es la presencia de una cadena ASCII «LOVE» en los paquetes ICMP generados, lo que agrega más especulación sobre su propósito y hace el caso más intrigante.
GreyNoise publicó esta información con la esperanza de que la comunidad de investigadores de ciberseguridad pueda ayudar a resolver el misterio y descubrir qué está causando estas extrañas tormentas de ruido.
Características de las tormentas de ruido
GreyNoise observa grandes oleadas de tráfico de Internet falsificado que provienen de millones de direcciones IP falsificadas de diversas fuentes, como QQ, WeChat y WePay.
Las «tormentas» crean tráfico masivo dirigido a proveedores de servicios de Internet específicos como Cogent, Lumen y Hurricane Electric, pero evitan otros, especialmente Amazon Web Services (AWS).
El tráfico se centra principalmente en las conexiones TCP, especialmente en el puerto 443, pero también hay una gran cantidad de paquetes ICMP, que últimamente incluyen una cadena ASCII «LOVE» incrustada dentro de ellos.
El tráfico TCP también ajusta parámetros como el tamaño de las ventanas para emular diferentes sistemas operativos, manteniendo la actividad sigilosa y difícil de detectar.
Los valores de Tiempo de vida (TTL), que determinan cuánto tiempo permanece un paquete en la red antes de ser descartado, se establecen entre 120 y 200 para parecerse a saltos de red realistas.
En conjunto, la forma y las características de estas «tormentas de ruido» indican un esfuerzo deliberado por parte de un actor bien informado más que un efecto secundario a gran escala de una configuración incorrecta.
GreyNoise pide ayuda
Este extraño tráfico imita flujos de datos legítimos y, aunque no se sabe si es malicioso, su verdadero propósito sigue siendo un misterio.
GreyNoise publicó capturas de paquetes (PCAP) de dos recientes eventos de tormentas de ruido en GitHub e invitó a los investigadores de ciberseguridad a unirse a la investigación y contribuir con sus conocimientos o descubrimientos independientes que ayudarán a resolver este misterio.
«Las tormentas de ruido son un recordatorio de que las amenazas pueden manifestarse de formas inusuales y extrañas, lo que resalta la necesidad de estrategias y herramientas adaptativas que vayan más allá de las medidas de seguridad tradicionales», subraya GreyNoise .