物联网（IoT）设备安全性下降使得攻击者可以访问感兴趣的目标。国家，间谍，雇佣兵和其他人不需要乔装打扮，就可以在房间安装窃听器;只需要入侵有漏洞的物联网设备的房间即可。

5月，中央情报局承认他们的代理人正在接受技术跟踪，所以他们不得不采取新的策略来确保他们的安全。这种做法可能已经在幕后进行了多年。俄罗斯一直在破坏全球网络基础设施，包括小型办公室/家庭办公室（SOHO）路由器和交换机，以监视对手并保持对未来运营的持久访问。攻击技术基础设施来监视和收集数据并不是一种新的攻击类型。邪恶的攻击者从有国家背景的APT中学习，并试图追随他们的脚步。

今年6月，我们发表了一篇关于特朗普与金正恩会面期间俄罗斯对新加坡网络袭击事件飙升的报道。在此之后，我们（F5实验室与Loryka合作）决定遵循特朗普的行程计划，看看是否有人按照预期进行攻击。如果攻击者可以跟踪普通公民、中央情报局特工等，为什么不可以跟踪特朗普总统或其官方随行人员呢？他们可能是目前地球上最高价值的情报目标。甚至同盟内的国家行为者也有兴趣获知特朗普随行人员的所见所闻。

7月16日，特朗普总统在芬兰赫尔辛基会见了弗拉基米尔·普京。正如预期的那样，针对芬兰的攻击在会晤前几天飙升。有趣的是，这次俄罗斯不是最大的攻击者，也许是因为特朗普正在与普京会面？在本次会晤中，中国是最大的攻击者。

从中国发起的攻击来自我们排名前十的攻击网络列表中。注意受攻击的端口和协议的变化也很有趣。在新加坡和芬兰的攻击之间，一些常见的协议被定位，例如VoIP电话和视频会议系统使用的SIP端口5060（芬兰攻击＃3，新加坡攻击＃1），SQL端口1433（芬兰攻击＃6，新加坡攻击中排名第3），Telnet端口23，常用于物联网设备的远程管理（芬兰攻击＃3，新加坡攻击＃9）。但是，在芬兰的攻击中，SSH端口22是第一个被攻击的端口，其次是SMB端口445。物联网设备经常使用SSH进行“安全”远程管理。挑战在于设备凭证通常是供应商默认设置，因此通常是强制性的。针对特朗普 -普京芬兰会晤的大多数攻击都是暴力攻击。我们在新加坡攻击中没有看到的芬兰攻击的其他端口和协议，如HTTP端口80，MySQL端口3306，备用Web服务器端口8090（通常用于网络摄像头）和RDP端口3389。

一、攻击芬兰的趋势线

芬兰通常不是受攻击最严重的国家。图1显示了特朗普-普京会晤之前的攻击趋势线。从2018年7月12日开始，对芬兰的攻击飙升，其中大部分是对SSH端口22的暴力攻击（见下面的攻击端口）。

图1：针对芬兰的攻击趋势

为了了解芬兰遭遇攻击的频率，我们比较了从2018年7月10日到2018年7月16日的一周攻击与加拿大在同一时期收到的攻击（加拿大通常是受攻击的十大国家，但通常不在前3-5）。除了7月12日和7月14日的攻击之外，芬兰甚至没有出现在图表上。

图2：与加拿大相比，芬兰的攻击流量

二、热门攻击源

中国通常是最热门的攻击的国家（见下表5/12/2018 - 7/13/2018）。特朗普-普京会晤期间（7/14/2018 - 7/16/2018）的攻击流量激增也是如此，在此期间，中国的攻击比例高于正常水平。美国一直处于第二的攻击位置。在攻击加剧期间，俄罗斯从第3位跌至第5位。鉴于有针对性的会晤包括普京，因此俄罗斯的攻击并不奇怪。值得注意的是，在特朗普-普京会晤攻击流量飙升期间，意大利和德国分别从第13和第14位跃升至第4和第7位。

三、攻击网络

F5 Labs持续监控热门攻击网络。下表中显示的少数网络（以黄色突出显示）并非始终是顶级攻击网络（参见F5 Labs IoT Hunt研究系列）。这表明威胁行为者的一致性，以及他们选择从中发起攻击的网络。

在特朗普-普京会晤之前和攻击期间，ChinaNet是最强大的攻击网络。 ChinaNet也一直处于全球威胁攻击网络榜首。我们认为，由于来自中国的攻击不受惩罚，来自世界各地的威胁行动者也有信心选择使用该网络发动袭击。

四、被攻击端口

在芬兰攻击峰值之前和期间，前5个攻击端口是SSH，SMB，SIP，HTTP和MySQL。SSH暴力攻击通常用于攻击在线系统和物联网设备。他们占据了对芬兰攻击的大多数，并且在全球攻击流量中始终如一。这就是我们选择在Hunt for IoT报告系列中发布SSH暴力攻击中使用的前50个管理凭据（publish the top 50 admin credentials used in SSH brute force attacks）的原因所在。

注意：我们没有数据表明对芬兰的攻击是成功的。这将需要访问目标系统，而这是非法的。我们收集攻击数据并发布威胁情报，以便向安全社区宣传攻击者的尝试和目标，以便更好地保护。

下表中显示了攻击中常见的端口的及用途。IoT设备正在转向SSH进行远程管理，因为它比Telnet更安全，尽管使用默认管理凭据“保护”并不能保护任何内容。只需查看受攻击最多的管理员凭据列表，该列表通常包含默认用户名和密码，这些用户名和密码是制造商或软件提供商的名称。SIP协议虽然位居前三，但在芬兰的攻击中没有占很大比例的攻击。由于我们不知道可以让攻击者立即访问会议室内的电话的SIP漏洞，因此我们并不惊讶SSH攻击占据了特朗普 - 普京会晤期间的大部分。

五、总结

物联网设备监控使用者事件并不新鲜，它的影响范围非常广。智能家居或企业都可能会受到不安全技术的影响，甚至成为攻击者的攻击枢纽，中继和僵尸网络主机。

所有企业都应该保护互联网连接基础设施。这包括数据中心机架中的服务器（以及安装在其上的所有内容）、安全摄像头、无线接入点、电话系统（包括移动设备）、视频会议系统、娱乐系统、电视、DVR、HVAC系统、自动售货机等。

必要的安全手段：

· 使用防火墙，VPN或限制指定的管理网络，对网络上的设备进行远程管理。绝不允许与整个互联网进行开放式通信。

· 对于家庭物联网，如果无法安装家庭防火墙，请利用网络地址转换（NAT）（请注意，家庭防火墙也已被针对）。

· 始终更改供应商默认管理凭据。

· 保持最新的制造商发布的安全补丁。