国家安全统筹部长尚穆根表示,我国的关键基础设施正遭到一组黑客集团的攻击,它对我国构成严重威胁,网络安全局正在调查组织的活动,并同相关机构紧密合作应对攻击。受访网安专家说,这个黑客集团来自中国。
尚穆根在网全局十周年晚宴上致词时指出,高端持续性威胁攻击(Advanced Persistent Threat) 持续增加,去年针对我国的疑似高端持续性威胁攻击事件是2021年的超过四倍。
其中一组已进行这类攻击一段时间的是一个名为UNC3886的组织。
业界已将它同关键基础设施的网络攻击做连接,例如针对美国和亚洲国防,电信和科技机构的攻击。
基于国家安全理由,当局无法透露更多细节。
尚穆根说:“攻击者的意图很明确,针对的是高价值和战略目标,为我们提供必要服务的重要基础设施。如果成功它可进行间谍活动,或对新加坡和新加坡人造成重大破坏。UNC3886对我们构成严重威胁,并有可能破坏我们的国家安全。”
受访专家指出,组织针对的国家不只是新加坡,欧洲、美国、非洲和其他亚洲国家都已是攻击对象。
示意图。(图:iStock)
麦迪安谷歌威胁情报团队首席顾问林毅豪说:“从2022年开始就关注到它对世界不同的国家有一定的关注和一定的活动。”
专家说,一般上需要七八年才能了解高端持续性威胁组织背后的政府单位,因此对于UNC3886仅两三年的关注还不足够了解对方的背景。
“(攻击新加坡是在哪一个时间点?)就是差不多去年到今年的时间。它们不是一直打进去那个环境里面就马上拿到数据,因为它们通常是要去做一些横向移动,找到那个数据库在哪里才可以拿到那个数据。”
“所以如果我们可以阻止还是延长它们的这个攻击,得到数据的这个时间,就给我们多点时间去调查,对它们做更深度的了解。”
受访专家也强调,组织的攻击对象是政府单位,不是公众。即便发生数据泄漏事件将对人民造成影响,但政府选择现在公开组织的身份,显示当局有一定的能力才能够发现对方的存在并已着手调查。
UNC3886什么来头?
资料显示,UNC3886是一个跟中国有关的黑客组织,被归类为“高端持续性威胁”(Advanced Persistent Threat,简称APT)。
该组织精于利用Fortine防火墙作业系统、VMware虚拟化环境的零时差漏洞,暗中从事网络间谍行动,规避传统防毒软件的侦测。他们主要针对攻击对象国家的防务、情报和政府网络,执行网络间谍任务。
UNC3886 的攻击行动通常隐蔽而持久,具备高度定制化的恶意软件与攻击手段,显示出其背后有强大的国家资源与技术支持。网络安全公司Mandiant于2022年首次公开披露其行动,提醒全球关键基础设施应提高防护。