Noise Storms: ปริมาณมหาศาลของทราฟฟิกเว็บปลอมที่เชื่อมโยงกับจีน

GreyNoise ได้สังเกตเห็นที่อยู่ IP ปลอมหลายล้านรายการที่ท่วมท้นผู้ให้บริการอินเทอร์เน็ตด้วยทราฟฟิกเว็บ ซึ่งเน้นไปที่การเชื่อมต่อ TCP เป็นหลัก

บริษัทข่าวกรองด้านความปลอดภัยไซเบอร์ GreyNoise ได้เตือนถึงปรากฏการณ์ที่น่ากังวลเกี่ยวกับการจราจรบนเครือข่ายที่ถูกปลอมแปลง (spoofed traffic) จำนวนมาก ซึ่งน่าจะมีความเชื่อมโยงกับประเทศจีน

ตั้งแต่เดือนมกราคม 2020 เป็นต้นมา ได้มีการพบเห็น IP หลายล้านแอดเดรสสร้างการจราจรปลอมแปลงที่ดูเหมือนเป็นการออกอากาศ ซึ่ง GreyNoise ได้ตั้งชื่อปรากฏการณ์นี้ว่า Noise Storm

โดยทั่วไปแล้ว Noise Storm เหล่านี้จะมุ่งเน้นไปที่การเชื่อมต่อแบบ TCP และในบางกรณีก็มีการใช้แพ็กเก็ต ICMP แต่ไม่เคยใช้แพ็กเก็ต UDP ซึ่งเป็นแพ็กเก็ตที่มักใช้ในการโจมตีแบบ DoS (Distributed Denial of Service) ซึ่งอาจสื่อได้ว่าผู้ส่งข้อมูลสนใจเกี่ยวกับผู้ที่ได้รับการจราจรดังกล่าว

ลักษณะของการจราจรที่ถูกสังเกตพบมีการปลอมแปลงค่า Time To Live (TTL) เพื่อเลียนแบบการเชื่อมต่อของเครือข่ายจริง การปลอมแปลงขนาดของหน้าต่าง (window size) เพื่อเลียนแบบการจราจรจากระบบปฏิบัติการต่าง ๆ และความเข้มข้นที่เพิ่มขึ้นและมุ่งเป้าหมายไปยังส่วนต่าง ๆ ของอินเทอร์เน็ต

ปัจจุบัน GreyNoise ได้อธิบายว่า Noise Storm ที่เกิดขึ้นตอนนี้เกี่ยวข้องกับ IP ประมาณห้าล้านแอดเดรสที่ดูเหมือนจะตั้งอยู่ในประเทศบราซิล แต่การวิเคราะห์ที่ลึกขึ้นพบว่าจริง ๆ แล้วการจราจรอาจมีต้นกำเนิดจากประเทศจีน

“การวิเคราะห์ของเราพบว่า Autonomous System Number (ASN) ที่เกี่ยวข้องกับการจราจร ICMP นี้มีความเชื่อมโยงกับ Content Delivery Network (CDN) ที่ให้บริการแพลตฟอร์มหลักของจีน เช่น QQ, WeChat และ WePay” GreyNoise กล่าว

การเชื่อมโยงกับประเทศจีนสร้างความกังวลมากขึ้น เนื่องจากบ่งชี้ว่าอาจมีผู้ไม่ประสงค์ดีที่มีความเชี่ยวชาญอยู่เบื้องหลังการจราจรที่ปลอมแปลงเหล่านี้ และมีการใช้การบิดเบือนข้อมูลอย่างจงใจเพื่อปกปิดวัตถุประสงค์ที่แท้จริง

GreyNoise ยังพบว่า Noise Storm ล่าสุดส่งผลกระทบต่อผู้ให้บริการหลักหลายราย เช่น Cogent, Lumen, และ Hurricane Electric แต่หลีกเลี่ยง AWS ซึ่งชี้ให้เห็นว่าผู้กระทำการอาจมีความเชี่ยวชาญสูงและอาจมีวาระที่ชัดเจน

อย่างไรก็ตาม วัตถุประสงค์ของ Noise Storm ยังไม่ชัดเจน และอาจเกิดจากการสื่อสารลับ การตั้งค่าเราท์เตอร์ผิดพลาด กลไกการควบคุมและสั่งการ (C&C) ที่ซับซ้อน การโจมตีแบบ DDoS ที่ซับซ้อน หรือความแออัดที่ทำให้เกิดการปรับเปลี่ยนการจราจร

นอกจากนี้ GreyNoise ยังได้ระบุและแยกแยะรูปแบบบางประการในข้อมูลจราจรที่ถูกปลอมแปลง เช่น ASCII string ‘LOVE’ ในแพ็กเก็ต ICMP ซึ่งเสริมสมมติฐานที่ว่า Noise Storm อาจถูกใช้เป็นช่องทางการสื่อสารลับ

ยิ่งไปกว่านั้น Noise Storm บางช่วง GreyNoise กล่าวว่ามีการเกิดขึ้นพร้อมกับรายงานข่าวเกี่ยวกับการดำเนินการทางทหารที่สำคัญ

“ปริศนาเหล่านี้ที่ยังคงมีอยู่ได้เพิ่มความซับซ้อนใหม่ให้กับภูมิทัศน์ความปลอดภัยไซเบอร์ ทำให้ผู้นำด้านความปลอดภัยต้องประเมินการป้องกันของตนใหม่และต้องมั่นใจว่าพวกเขามีเครื่องมือที่เหมาะสมสำหรับการสร้างความปลอดภัยที่แข็งแกร่ง” GreyNoise กล่าว

แม้ว่าจะยังไม่ชัดเจนว่าใครอยู่เบื้องหลัง Noise Storm แต่การเชื่อมโยงกับประเทศจีนไม่ได้ดูเกินความคาดหมาย ในเดือนเมษายนที่ผ่านมา Infoblox ได้ระบุรายละเอียดว่าผู้ไม่ประสงค์ดีที่มีความเชื่อมโยงกับจีนชื่อ Muddling Meerkat ได้ใช้ Great Firewall (GFW) ของประเทศจีนในการสำรวจอินเทอร์เน็ตโดยใช้การจัดการระเบียนเซิร์ฟเวอร์เมล DNS ที่มีการแก้ไขแล้ว

 

Credit: Securityweek.com