随着美国总统唐纳德·特朗普与朝鲜总统金正恩在新加坡的一家酒店举行会晤,F5实验室与其数据合作伙伴Loryka发现,在6月11日至6月12日期间,针对新加坡的网络攻击数量出现了大规模激增。
F5实验室指出,通常情况下,新加坡并不会是网络攻击的首选目标。而我们可以看到,此次攻击数量激增出现的时间恰好与特朗普与金正恩会晤的时间完全吻合。
大部分攻击来自俄罗斯,约占总体攻击次数的88%。更重要的是,在这段时间内来自俄罗斯的网络攻击中有97%都针对了新加坡。
网络攻击几乎袭击了从VoIP电话到物联网设备的所有任何计算机系统。袭击事件始于巴西,目标是以明文形式传输通信的IP电话端口SIP 5060,此类端口最容易遭受攻击。
在持续数小时的初始攻击之后,研究人员发现了一个源自俄罗斯IP地址188.246.264.60的侦察活动,该地址为俄罗斯商用数据中心运营商Selectel运营的ASN 49505,扫描的目标是各种端口。
- 5060 - 明文会话初始协议(SIP)
- 23 - Telnet远程管理
- 1433 - Microsoft SQL Server数据库
- 81 - 用于主机到主机通信的备用Web服务器端口
- 7547 - ISP使用TCP端口通过TR-069协议远程管理路由器
- 8291 - MikroTik路由器常用的远程管理端口
- 8080 - 通常用于代理服务器或缓存的备用Web服务器端口
这些攻击都不是为了传播恶意软件。F5实验室分析说:“被攻击的第二个端口是Telnet,与物联网设备攻击一致,可以用来访问或监听感兴趣的目标。其他被攻击的端口包括SQL数据库端口1433、web流量端口81和8080、僵尸网络Mirai和Annie使用的端口7541,以及Hajime针对PDoS MikroTik路由器的端口8291。”
在世界标准时间(UTC)2018年6月11日下午3点到2018年6月12日下午12点,也就是说,在新加坡当地时间2018年6月11日晚上11点到2018年6月12日晚上8点的短短21个小时里,新加坡遭到了4万次网络攻击。而这恰好就处于特朗普与金正恩的会晤期间。
F5实验室强调,其中只有8%是漏洞利用攻击,而92%的攻击是为了通过扫描寻找脆弱的设备。俄罗斯是这一时期攻击新加坡的主要来源,约占总体攻击次数的88%;巴西被认为是第二大攻击者,约占总体攻击次数的8%;德国排在第三位,约占2%。
F5实验室最后指出,目前尚不清楚这些攻击者针对的是什么,也不清楚他们是否成功。对攻击数据的分析仍在进行中,目前也没有证据能够直接将这一攻击活动与国家支持的黑客攻击联系起来。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
