未中斷服務卻潛伏 11 個月:網路間諜組織 UNC3886 滲透新加坡四大電信,基礎設施成 APT 主戰場
近日,新加坡電信網路被拉進國家級攻防前線。新加坡政府證實,經調查確認,與中國有關的網路間諜組織 UNC3886 在一場「為期數月」的行動中,鎖定滲透 Singtel(新加坡電信)、StarHub(星和)、M1 與 SIMBA Telecom 等四家主要電信公司。
根據調查報告,攻擊者展現高度複雜的手段,並至少利用一個「先前未知的漏洞(zero-day)」來繞過防火牆,成功進入電信系統。新加坡當局強調,攻擊者雖然成功滲透並存取電信系統的部分區域,但僅外流「少量」的技術資料,沒有敏感資料遭到存取,且包括 5G 核心網路(5G core) 在內的最關鍵系統已被隔離鎖定,未被攻破。
調查結果顯示,攻擊者竊取這些網路拓撲與配置數據,主要目的是為了繪製網路藍圖,以支援長期的情報蒐集與後續行動目標,而非為了立即破壞。此外,新加坡官方也將此次事件與近期針對歐美電信業的「鹽颱風(Salt Typhoon)」攻擊相提並論,指出兩者手法相似,但強調新加坡此次遭受的損害程度較輕。
UNC3886:被視為與中國有關的間諜組織,鎖定基礎設施的 APT 威脅
新加坡官方將 UNC3886 描述為一個「進階持續性威脅(advanced persistent threat, APT)」等級的網路間諜組織。Google 旗下的網路安全公司 Mandiant 曾將 UNC3886 定義為「與中國有關」,並指出其攻擊目標廣泛涵蓋美國與亞洲的國防、科技與電信組織。
此外,UNC3886 擅長利用路由器、防火牆與虛擬化環境中的零日漏洞(zero-day vulnerabilities)來進行滲透,這類環境通常是傳統資安工具難以觸及的死角。UNC3886 通常不直接攻擊終端用戶設備,而是專注於滲透網路基礎設施中較少被監控的區域,以便安靜地竊取資訊。 新加坡的調查報告也提到,UNC3886 在成功入侵後,會使用 rootkits 等先進工具來維持在系統內的長期潛伏與隱蔽存取(long-term persistence),確保其行蹤不被發現。
儘管新加坡政府在對外說明中將此攻擊歸咎於 UNC3886,但當局也謹慎地表示,目前並未正式公開點名任何特定國家為幕後主謀。
Operation Cyber Guardian:長達 11 個月的清除行動
新加坡網路安全局(Cyber Security Agency of Singapore, CSA)透露,在發現 UNC3886 滲透四大電信網路後,當局便啟動新加坡史上規模最大、為期 11 個月的網路防禦行動,名為「Operation Cyber Guardian」。
Operation Cyber Guardian 行動共動員超過 100 名人員,是一次跨領域的合作,涵蓋政府、軍方、情治單位與產業界,包括資訊通信媒體發展局(IMDA)、戰略資訊通信技術中心(Centre for Strategic Infocomm Technologies)、國防部數位防衛與情報軍(Digital and Intelligence Service)、政府科技局(GovTech)以及內部安全局(Internal Security Department)等。
這項清除行動極具挑戰性,因為相關團隊必須在維持全國通訊與數據服務正常運作的同時,將入侵者「驅逐」出網路。在修復過程中,團隊還執行了模擬攻防的「紫隊演練(Purple teaming)」,以驗證防禦措施的有效性。
新加坡數位發展與新聞部長 Josephine Teo 警告,若攻擊未被即時遏止,其連鎖反應恐波及銀行、金融、交通與醫療等依賴網路連接的關鍵服務。Josephine Teo 並引用南韓的慘痛案例作為警示,指出南韓電信巨頭 SK Telecom 在 2025 年 4 月曾遭受攻擊,導致近 2,700 萬用戶的 SIM 卡資料外洩,這顯示電信基礎設施若遭攻破,後果將極具毀滅性。
四家電信業者也在聯合聲明中強調,已採取「縱深防禦(defence-in-depth)」機制來保護網路,並將持續與政府合作應對日益複雜的威脅。
新加坡在未出現服務中斷與個資外洩的情況下,花費 11 個月清除潛伏威脅,顯示電信基礎設施已成高階 APT 長期滲透的主戰場。這場攻防不只是單一入侵事件,更是一場關乎國家級網路韌性與關鍵基礎設施防禦能力的實戰檢驗。
*本文開放合作夥伴轉載,資料來源:《Business Times》、《Help Net Security》、《Reuters》、《TechCrunch》、《The Register》,首圖來源:Unsplash