הסוד של "אהבה" הודעות נסתרות במתקפות הסייבר?

מאז ינואר 2020, חברת GreyNoise Intelligence עוקבת אחר התופעה בלתי רגילה ומדאיגה במרחב הסייבר: גלים מסיביים של תעבורה מזויפת, המכונים "סופות רעש" (Noise Storms). פעילות פנומנלית זו מבלבלת את מומחי הסייבר, יוצרת סיכונים מורכבים חדשים ודורשת תשומת לב דחופה ממומחי אבטחה ברחבי העולם.

תעלומה ללא הסבר ברור

למרות מחקרים מתמשכים, מקורן של ה"סופות" המסתוריות הללו נותר לא ברור. מומחים מעלים תיאוריות שונות, החל מאפשרות של ערוצי תקשורת מוסתרים, דרך מתקפות מניעת שירות מבוזרות (DDoS), ועד לנתבים שהוגדרו באופן שגוי. כל השערה רק מוסיפה למסתורין המקיף את הפעילות החריגה הזו.

מאפייני "סופות הרעש"

"סופות הרעש" מתאפיינות במיליוני כתובות IP מזויפות, היוצרות פעילות רשת בלתי שגרתית. התכונות המרכזיות של התופעה כוללות:

• מיקוד בפורט 443 (HTTPS): רוב התעבורה המזויפת מכוונת לפורט זה, המשמש לתקשורת מאובטחת באינטרנט.
• שימוש בפרוטוקול ICMP: פרוטוקול המשמש בדרך כלל לבדיקת תקינות התקשורת, אך כאן מנוצל בהקשר חריג.
• היעדר תעבורת UDP: כמעט ואין שימוש בפרוטוקול UDP, מה שמקשה על זיהוי המתקפות באמצעות כלים המכוונים לתעבורה מסוג זה.

חשדות וחששות גלובליים.

נתונים עדכניים מצביעים על ברזיל כמקור משוער של החבילות המזויפות. עם זאת, מומחים סבורים כי זו עשויה להיות שכבת הסוואה נוספת. ניתוח מעמיק גילה קשר בין מערכת אוטונומית (ASN) המשויכת לתעבורת ICMP לבין רשת אספקת תוכן (CDN) המשרתת פלטפורמות סיניות גדולות כמו QQ, WeChat ו-WePay. ממצא זה מעורר חששות לגבי מעורבות אפשרית של גורמים מתוחכמים יותר, אולי אף ברמה מדינתית.

רמת תחכום ומיקוד גבוהה.

"סופות הרעש" מציגות סימנים של תכנון מתקדם וממוקד:

1. זיוף חכם של TTL: ערכי Time To Live (TTL) מוגדרים בטווח של 120 עד 200, המדמים באופן ריאליסטי מעבר דרך נתבים שונים באינטרנט.
2. הדמיית מערכות הפעלה: חבילות TCP מזויפות מדמות גדלי חלונות (Window Sizes) של מערכות הפעלה שונות, מה שמקשה על זיהוי התעבורה כחריגה.
3. גישה ממוקדת יותר: לאחרונה, ה"סופות" תוקפות חלקים קטנים יותר של האינטרנט עם אינטנסיביות מוגברת, בניגוד לכיסוי הרחב בעבר.
4. מיקוד סלקטיבי בספקים: האירועים האחרונים נמנעים באופן ניכר משירותי AWS, אך ממשיכים להשפיע על ספקים מרכזיים אחרים כמו Cogent, Lumen ו-Hurricane Electric.

המסר המסתורי: "love"

אחד המאפיינים המסקרנים ביותר של "סופות הרעש" האחרונות הוא הכללת המחרוזת "אהבה" בקידוד ASCII בתוך חבילות ה-ICMP, יחד עם בתים משתנים נוספים. הודעה תמימה לכאורה זו מעוררת ספקולציות כי תעבורה זו עשויה לשמש כערוץ תקשורת נסתר בין גורמים מסוימים.

קריאה לפעולה: מחייב שיתוף פעולה הבינלאומי:

חברת GreyNoise Intelligence קוראת למפעילי רשתות, חוקרי אבטחה ומומחי סייבר להישאר ערניים, לשתף מידע ולדווח על כל תצפית דומה. שיתוף פעולה בינלאומי הוא המפתח לפתרון התעלומה ולמניעת סיכונים פוטנציאליים. החברה פרסמה לכידות חבילות (PCAPs) משני אירועי "סערה" אחרונים ב-GitHub, כדי לאפשר לקהילה ללמוד ולחקור אותם.

המלצות ממומחי אבטחה:

התופעה של "סופות הרעש" מדגישה את הצורך בגישה פרואקטיבית ומתקדמת לאבטחת סייבר. מומחי אבטחה מומלצים:

– לתעדף איומים משמעותיים: להשתמש בכלים המאפשרים לסנן רעש לא רלוונטי ולהתמקד באיומים אמיתיים.
– לייעל משאבים: ליישם פתרונות המפחיתים התראות שווא ומשפרים את יעילות הצוות.
– להיות פרואקטיביים: לזהות ולנטר סיכונים לפני שהם מתממשים וגורמים לשיבושים.
– להשתמש במודיעין בזמן אמת: להטמיע כלים וטכנולוגיות המאפשרים זיהוי מיידי של אנומליות בתעבורה.

"סופות הרעש" מציבות אתגר חדש ומורכב בתחום אבטחת הסייבר. עם תחכום גובר ושיטות הסוואה מתקדמות, תופעה פנומנלית זו דורשת שיתוף פעולה בינלאומי ומחקר מעמיק. רק באמצעות מאמץ משותף ניתן יהיה לפענח את התעלומה, להגן על תשתיות האינטרנט ולהבטיח את ביטחונם של המשתמשים.