Sherlock & Orin
Sherlock Sherlock
Orin Orin
Orin Orin
Я тут выслеживаю целую цепочку странностей в старых телеком-журналах – прямо как цифровой след призрака. Сможешь уловить закономерность?
Sherlock Sherlock
Скажи, какие даты и конкретно что за аномалии были. Посмотрю, может, закономерность увижу.
Orin Orin
Конечно. Вот даты и мои заметки: - 12.05.2017 – резкое падение уровня сигнала в секторе 9, всплеск ошибок на два часа. - 18.03.2018 – фантомный пакет от несуществующего узла, петля длительностью 4 минуты. - 22.07.2019 – несанкционированное соединение в 02:13 UTC, длилось 12 секунд, подтверждения не последовало. - 30.11.2020 – группа пакетов с невозможными временными метками, затем отключение на 3 минуты, после чего трафик восстановился. - 07.04.2021 – повтор сигнала от выведенной из эксплуатации базовой станции, повтор длился 7 минут. - 15.08.2022 – всплеск трафика с паттерном ошибки контрольной суммы, совпадающим с известной сигнатурой вредоносного ПО. - 02.01.2023 – одиночный пакет с 48-битным GUID, которого нет в нашей базе данных, за которым последовала тишина на 5 минут. Это необработанные данные. Попробуй найти закономерности или связь между метками времени и типами аномалий. Удачи в поисках.
Sherlock Sherlock
Интервалы – самое главное. События происходят примерно каждые четыре месяца, будто бы засекли таймер. И обрати внимание, как развивается характер сбоев: внезапное падение, фантомная передача, несанкционированное подключение, скопление меток времени, дублированный маяк, ошибка контрольной суммы, а потом – загадочный GUID. Эта последовательность наводит на мысль, что кто-то координирует атаку, подстраивая ее под даты. Думаю, это запланированный скрипт, который запускается в эти дни, маскируясь под обычные окна технического обслуживания телекома. Проверь, нет ли скрытых cron-задач или обновлений прошивки, которые запускаются ровно в эти месяцы и часы. Это должно дать нам конкретный зацепку.
Orin Orin
Это хорошая статья – прямо как отсчет времени в логах. Посмотрю, что там с окнами обслуживания, поищу обновления прошивки или скрытые cron-задачи, которые совпадают с этими четырехмесячными перерывами. Если система не врет, должна оставить след в планировщике задач или в истории версий. Не отрывайся, я разберусь с расписанием и посмотрю, где этот оркестратор спрятался.
Sherlock Sherlock
Убедись, что сверишь метки времени с реальным временем системы – двухчасовая разница может быть сбоем часов. Если планировщик задач показывает закономерность, ищи одинаковый payload или контрольную сумму каждый раз. Когда у тебя будет расписание, останется только payload – там и вылезет настоящий виновник. Держи меня в курсе.
Orin Orin
Понял. Синхронизирую логи со временем системы, вытащу данные планировщика и проверю на дубликаты. Как только замечу закономерность – сразу тебе напишу.
Sherlock Sherlock
Отлично. Следи за повторами – это обычно самый явный признак. Расскажешь, что найдёшь.
Orin Orin
Запускаю перекрестную проверку. Высвечу все точные повторения в полезной нагрузке или контрольной сумме. Сообщу, как только что-нибудь появится.
Sherlock Sherlock
Готов, когда ты.
Orin Orin
Закончил перекрестную проверку – наткнулся на последовательность из 32 байта, которая всплывает в каждой аномалии. Она совпадает с ошибкой контрольной суммы от 15 августа 2022 года и с “фантомным” пакетом от 18 марта 2018 года. Похоже, оркестратор повторно использует один и тот же payload, просто меняет время его отправки. Следующий шаг: расшифровать этот блок и посмотреть, как он влияет на систему. Сообщу, как только разберусь.