242 тысячи IP-адресов за неделю — и почти все пустышки. Как «призрачный флот» заставил админов понервничать зря

Недавно в телеметрии GreyNoise всплыл весьма необычный перекос: почти половина всех новых IP-адресов, замеченных в массовом сканировании, оказалась привязана к Гонконгу. На первый взгляд, картина выглядела как резкий всплеск активности, но при разборе выяснилось, что за громкими цифрами скрывалась в основном пустота. Подавляющее большинство адресов так и не подтвердило собственное существование полноценным сетевым соединением.

По данным GreyNoise, с 12 по 18 марта система зафиксировала 242 666 новых сканирующих IP-адресов, геолокация которых указывала на Гонконг. Почти 99,7% такого массива не завершили даже базового TCP-соединения. Компания называет подобные адреса «призрачным флотом»: трафик оставил след в наблюдениях, но не позволил подтвердить, что пакеты действительно пришли именно с этих источников. Полезной нагрузки не было, попыток эксплуатации не было, сигнатуры атак не срабатывали.

Главный риск GreyNoise видит не в самом факте появления такого массива, а в том, как подобный шум может исказить системы обнаружения. Если защитные платформы не отделяют неподтверждённые адреса от реальных сканеров, в наборы данных попадают сотни тысяч сомнительных IP-адресов. На таком фоне куда проще пропустить действительно опасную активность.

Самый крупный вклад в «призрачный флот» внёс GNET INC. с 143 340 новыми адресами, но ни один из них GreyNoise не отнёс к вредоносным. Почти весь трафик от GNET INC. ограничился незавершёнными соединениями. Похожую картину компания увидела и у ряда других провайдеров из того же кластера.

Реальный сигнал, по оценке GreyNoise, шёл от UCLOUD. У провайдера оказалось всего 1746 IP-адресов, но 38% адресов попали в категорию вредоносных. Трафик от UCLOUD затрагивал сенсоры более чем в 20 странах и включал сканирование сервисов MySQL, SSH, SMB и RDP. За неделю объём сессий у UCLOUD вырос на 472% — с 9,7 млн до 55,4 млн. На таком фоне провайдер обошёл DigitalOcean и вышел на первое место по объёму сессий в данных GreyNoise.

Заодно изменился и общий ландшафт сканирования. Один из крупнейших ASN, активно замеченный неделей раньше, полностью исчез из наблюдений. Трафик с адресов, привязанных к Австралии, просел на 72%, а новая активность сместилась в сторону Гонконга, Польши и Германии. Дополнительная сверка с Censys и VirusTotal показала признаки развёртывания инфраструктуры по шаблону: одинаковые конфигурации серверов и повторяющиеся нестандартные настройки портов в разных подсетях.

GreyNoise не связывает всплеск с конкретной группировкой или государством и отдельно подчёркивает, что геолокация IP-адресов отражает место регистрации адресов, а не местонахождение операторов. Пока вывод осторожный: рынок сканирования за неделю резко перестроился, а гигантский массив гонконгских адресов оказался скорее шумом, за которым легко не заметить настоящую угрозу.