司空见惯，俄罗斯一直在对美国进行网络攻击，自2016年美国总统大选以来，美国对俄罗斯官员和企业实施了许多制裁措施。除官方制裁外，US-Cert在4月份发布了一项警告：警惕Russia maintaining persistent access对小型办公室和家用路由器的大规模间谍行为。从2018年6月11日到6月12日，F5 Labs与我们的数据合作伙伴Loryka一起发现，针对新加坡的网络攻击暴涨，其中88％来自俄罗斯。更重要的是，这段时间内来自俄罗斯的攻击中有97％针对新加坡。我们无法证明这是国家发起的攻击事件，但攻击事件当天恰逢唐纳德特朗普总统在新加坡酒店会见朝鲜总统金正恩。这些攻击针对VoIP电话和物联网设备，似乎并不仅仅是巧合。

· 俄罗斯在2018年6月12日对新加坡的攻击中占88％。

· 攻击始于巴西，针对端口SIP 5060，IP电话使用此端口进行明文传输通信;这是受攻击最多的端口。

· 在初始阶段之后，攻击主要为隶属于俄罗斯的IP地址188.246.234.60针对各种端口侦察扫描。

· 排名第二的被攻击端口为Telnet，与IoT设备的攻击一致，利用这些攻击可以访问或监听感兴趣的目标。

· 其他受到攻击的端口包括数据库端口1433，Web流量端口81和8080，Mirai和Annie攻击使用的ISP端口7541以及PDoS MikroTik路由器的8291端口。

2018年6月12日的攻击

从6月12日UTC时间下午3点到晚上12点，总共发起大约4万次攻击。也就是新加坡时间上午11点到晚上8点。6月12日，特朗普总统在新加坡会见金正恩。

图1.攻击新加坡的时间轴

收集到的攻击中有92％是侦察扫描，寻找存在漏洞的设备;其他8％是漏洞利用攻击。34％的攻击来自隶属俄罗斯的IP地址。中国，美国，法国和意大利在这段时间内排名前五，所有这些国家发起的攻击比俄罗斯少2.5至3倍。巴西位居第六，是唯一一个与俄罗斯一起发现SIP攻击的国家。

图2：2018年6月12日（新加坡时间）全球十大攻击来源国家

新加坡是这次攻击的主要目的地，遭受的攻击比美国和加拿大多4.5倍。新加坡通常不是典型的攻击目标。这种反常情况恰逢特朗普总统会见金正恩。

图3. 2018年6月12日（新加坡时间）排名前10位的攻击目标国家

俄罗斯是这一时期攻击新加坡的主要来源，发动了88％的攻击。巴西是第二大攻击者，对新加坡发动了8％的攻击，德国排在第三位，占2％。似乎没有人企图隐瞒从俄罗斯发动的袭击。从俄罗斯对新加坡的攻击中也没有出现恶意软件。

图4. 2018年6月11日至2018年6月12日攻击新加坡击的10个主要来源国

排名首位的俄罗斯IP

来自俄罗斯的大多数攻击是源自一个IP地址的侦察扫描：188.246.234.60。该IP由Selectel运营的ASN 49505所有。侦察扫描之前，主要来自巴西的IP对5060端口发动了实际攻击。

攻击中的目的端囗

新加坡攻击中最受欢迎的端口顺序为：

1.5060 – 明文会话初始协议（SIP）

2.23 – Telnet远程管理

3.1433 – Microsoft SQL Server数据库

4.81 – 用于主机到主机通信的备用Web服务器端口

5.7547 – ISP使用TCP端口通过TR-069协议远程管理路由器

6.8291 – MikroTik路由器常用的远程管理端口

7.8080 – 通常用于代理服务器或缓存的备用Web服务器端口

SIP端口5060比23端口的攻击多25倍。SIP是一种IP电话协议，其中端口5060非加密，端口5061加密。将5060端口列为攻击目标端口是非常罕见的。我们的假设是攻击者试图访问不安全的电话或VoIP服务器。自2011年SIPVicious VoIP工具流行以来，针对这个端口的攻击还没有出现过。

Telnet是物联网攻击者最常攻击的远程管理端口。很可能这些攻击者正在寻找任何他们可能会攻陷的物联网设备，以便访问感兴趣的目标，然后能够监视通信并收集数据。

ISP使用端口7457来远程管理他们的路由器。该协议是Mirai和Annie的目标，Mirai在2016年底给欧洲ISP造成数百万美元的损失。如果新加坡的任何设备都已打开此端口并使用默认管理凭证，则攻击者可能获得访问权限使用中间人攻击来拦截通过这些设备的流量，收集数据，重定向流量等等。

8291端口最近遭到了Hajime的攻击，针对PDoS设备创建的警告事件，否则这些设备可能会被Mirai感染.如果新加坡的任何设备正在侦听此端口并使用供应商的默认凭据，则攻击者可能有获得访问权。

总结

目前还不清楚攻击者发起的SIP攻击是否成功。我们将继续分析收集的攻击数据，并随时更新研究进展。

我们没有证据直接将这种攻击活动与国家支持的攻击联系在一起，但众所周知，俄罗斯政府在境内有很多承包商在进行他们的竞标攻击，成功攻击一个利益目标会使其直达克里姆林宫。

关于减轻这些类型的攻击的威胁，在攻击中涉及直接连接互联网的物联网设备和数据库，我们的建议是：

· 始终使用防火墙，VPN或者限制访问指定的管理网络，保护网络中任何设备的远程管理。切勿对整个互联网开放。

· 始终更改供应商默认管理凭证。

· 随时了解制造商发布的任何安全补丁。