2020-yil yanvar oyidan beri GreyNoise Intelligence kompaniyasi kibermakonida “shovqin bo’ronlari” deb nomlangan g’ayrioddiy hodisani kuzatmoqda. Bu hodisa kiberxavfsizlik mutaxassislari uchun sir boʻlib qolmoqda va dunyo boʻylab mutaxassislarning eʼtiborini talab qiluvchi yangi murakkab xavf tugʻdirmoqda.

Ushbu sirli “bo’ronlar”ning kelib chiqish sababini aniq tushuntirish hali ham topilmagan. Mutaxassislar turli xil nazariyalarni ilgari surmoqda: yashirin aloqa kanallari, tarqatilgan xizmatni rad etish (DDoS) hujumlari kabi tarqatilgan hujumlardan tortib, notoʻgʻri sozlangan marshrutlagichlargacha.

“Shovqin bo’ronlari” millionlab soxta IP-manzillar bilan tavsiflanadi va juda g’ayrioddiy tarmoq faolligini hosil qiladi. Trafikning asosiy qismi 443-portga (HTTPS) yoʻnaltirilgan va ICMP protokolini ishlatadi. Qizigʻi shundaki, UDP-trafik deyarli yoʻq, bu esa UDP-hujumlarini aniqlash uchun sozlangan vositalar yordamida hujumlarni aniqlashni qiyinlashtiradi.

Soʻnggi maʼlumotlar soxta paketlarning manbai sifatida Braziliyani koʻrsatgan boʻlsa-da, mutaxassislarning fikricha, bu yana bir darajadagi niqoblash boʻlishi mumkin. Tahlil ICMP-trafik bilan bogʻliq avtonom tizim (ASN)ni QQ, WeChat va WePay kabi yirik xitoy platformalariga xizmat koʻrsatadigan kontent yetkazib berish tarmogʻi (CDN) bilan bogʻliq ekanligini koʻrsatdi. Bu aloqa yanada murakkab ishtirokchilarning ishtiroki haqida qoʻshimcha xavotirlarni tugʻdiradi.

“Shovqin bo’ronlari” yuqori darajadagi murakkablik va maqsadga muvofiqlikni namoyish etadi:

• Aqlli TTLni almashtirish: Time To Live qiymatlari 120 dan 200 gacha oʻrnatiladi, bu haqiqiy tarmoq oʻtishlarini taqlid qiladi.
• Operatsion tizimlarni emulyatsiya qilish: TCP-trafik turli xil OS paketlarini taqlid qilish uchun oyna oʻlchamlarini sun’iy ravishda oʻzgartiradi.
• Maqsadli yondashuv: Soʻnggi “bo’ronlar” yanada aniqroq boʻlib, internetning kichik segmentlariga yuqori intensivlik bilan hujum qildi.
• Tanlab olish: Dastlabki “bo’ronlar” keng koʻlamli infratuzilmaga taʼsir koʻrsatgan boʻlsa, soʻnggi voqealar AWSni chetlab oʻtib, Cogent, Lumen va Hurricane Electric kabi boshqa yirik provayderlarga taʼsir koʻrsatishda davom etmoqda.

Soʻnggi “shovqin bo’ronlari”ning qiziqarli xususiyati shundaki, ular boshqa oʻzgarib turadigan baytlar bilan birga ICMP paketlariga kiritilgan “LOVE” ASCII satrini oʻz ichiga oladi. Bu zararsiz koʻrinadigan xabar faqatgina sirni kuchaytiradi va mutaxassislarni bu “bo’ronlar” yashirin aloqa kanali boʻlib xizmat qiladimi, degan savolga undaydi.

GreyNoise Intelligence tarmoq operatorlari va xavfsizlik boʻyicha tadqiqotchilarni ehtiyotkor boʻlishga va shunga oʻxshash kuzatuvlar haqida xabar berishga chaqiradi, bu esa ushbu davom etayotgan internet sirini ochishga yordam beradi. Kompaniya jamoatchilik tomonidan oʻrganish uchun soʻnggi ikki “boʻron” voqealarining paketlarni ushlash (PCAP) fayllarini GitHub-da eʼlon qildi.

GreyNoise Intelligence mutaxassislari taʼkidlashicha, “shovqin bo’ronlari” tahdidlarning gʻayrioddiy va gʻalati tarzda namoyon boʻlishi mumkinligini eslatadi. Xavfsizlik mutaxassislari quyidagilarni amalga oshirish tavsiya etiladi:

• Muhim narsalarga ustuvorlik berish: ahamiyatsiz shovqinni filtrlaydigan va haqiqiy xavf tahdidlarini aniqlaydigan vositalardan foydalanish.
• Resurslarni optimallashtirish: soxta ijobiy natijalar sonini kamaytiradigan echimlardan foydalanish.
• Oldindan choralar koʻrish: xavflar buzilishga olib kelishidan oldin ularni oldindan koʻrish va kamaytirish.
• Amaliy razvedka: real vaqtda trafikdagi anomaliyalarni aniqlay oladigan vositalardan foydalanish.