Love cloud

インターネット・インテリジェンス企業GreyNoise社は、2020年1月以来、なりすましのインターネット・トラフィックを含む「ノイズ・ストーム」の大波を追跡してきたと報告している。しかし、広範な分析にもかかわらず、その起源と目的は結論付けられていない。

これらのノイズ・ストームは、秘密通信、DDoS攻撃の調整信号、マルウェア操作の秘密のコマンド・アンド・コントロール(C2)チャネル、または設定ミスの結果であることが疑われている。

不思議な点は、生成されたICMPパケットに “LOVE “というASCII文字列が含まれていることである。

GreyNoiseは、サイバーセキュリティ研究者コミュニティが謎を解き明かし、この奇妙なノイズ・ストームを引き起こしている原因を明らかにする一助となることを願って、この情報を公開した。

ノイズ嵐の特徴

GreyNoiseは、QQ、WeChat、WePayなどの様々なソースから、何百万ものなりすましIPアドレスから来るなりすましインターネットトラフィックの大きな波を観測している。

この “嵐 “は、Cogent、Lumen、Hurricane Electricのような特定のインターネット・サービス・プロバイダーに向けられた大規模なトラフィックを発生させますが、Amazon Web Services(AWS)を筆頭に他のプロバイダーは回避します。

トラフィックは主にTCP接続に集中し、特にポート443をターゲットにしているが、ICMPパケットも大量に発生しており、最近では以下のようなASCII文字列 “LOVE “が埋め込まれている。

ICMP packets containing the "Love" string
LOVE」という文字列を含むICMPパケット
送信元

TCPトラフィックはまた、異なるオペレーティング・システムをエミュレートするために、ウィンドウ・サイズなどのパラメータを調整し、活動をステルスに保ち、特定を困難にしています。

TTL(Time to Live)値とは、パケットが破棄されるまでのネットワーク上の滞在時間を示す値で、現実的なネットワークホップに似せるため、120から200の間で設定されている。

全体として、これらの「ノイズ・ストーム」の形態と特徴は、設定ミスによる大規模な副作用ではなく、知識のある行為者による意図的な努力を示している。

助けを求めるグレイノイズ

この奇妙なトラフィックは正規のデータストリームを模倣しており、悪意があるかどうかは不明だが、その真の目的は謎のままである。

GreyNoiseは、最近発生した2つのノイズ・ストームに関するパケット・キャプチャ(PCAP)をGitHubで公開し、サイバーセキュリティ研究者に調査に参加してもらい、この謎の解明に役立つ洞察や独自の発見を提供してもらうよう呼びかけている。

「ノイズ・ストームは、脅威が通常とは異なる奇妙な方法で現れる可能性があることを思い出させるものであり、従来のセキュリティ対策を超える適応戦略とツールの必要性を浮き彫りにするものです」とGreyNoiseは強調している

これらのノイズ・ストームについては、GreyNoiseの最近のストーム・ウォッチ・ビデオをご覧ください。