Сингапур провел почти год, вытесняя из своих телекоммуникационных сетей предполагаемую шпионскую группу, связанную с Китаем, в рамках того, что власти описывают как крупнейшую на сегодняшний день операцию по киберзащите страны.
Агентство кибербезопасности Сингапура сообщило, что продвинутая постоянная угроза UNC3886 внедрилась в сети всех четырех основных телекоммуникационных провайдеров, что вызвало 11-месячную операцию по цифровому выселению с участием более 100 специалистов из государственных, военных, разведывательных и промышленных структур. Операция под названием “Cyber Guardian” (Киберстраж) позволила государственным инженерам и инженерам телекоммуникационных компаний совместно вытеснить злоумышленников, обеспечивая при этом бесперебойную работу национальных телефонных и информационных сетей.
“За последние месяцы наши расследования показали, что UNC3886 провела целенаправленную и хорошо спланированную кампанию против телекоммуникационного сектора Сингапура”, — заявили в CSA.
Официальные лица не стали прямо указывать на Пекин, но UNC3886 давно ассоциируется с китайским государственным кибершпионажем. Группа обычно избегает громких взломов пользовательских машин, вместо этого проникая в неприметные, но информативные части сетевой инфраструктуры, где трафик течет незаметно, и почти никто не обращает на него внимания.
Согласно отчету Сингапура, злоумышленники обошли периметральные системы защиты, используя ранее неизвестную уязвимость, а затем внедрились с помощью пользовательских руткитов, которые позволили им оставаться скрытыми глубоко внутри телекоммуникационных систем. Власти не уточнили, какие именно уязвимости были использованы, но ранее UNC3886 была замечена в использовании уязвимостей нулевого дня в межсетевых экранах FortiGate, VMware ESXi и конечных точках VMware vCenter Server.
Следователи полагают, что операция была сосредоточена на извлечении технической сетевой информации, которая могла бы поддержать долгосрочный сбор разведданных, а не на краже данных клиентов или вызове сбоев, которые могли бы привлечь внимание.
Эти тактики покажутся знакомыми всем, кто следил за недавними шпионскими кампаниями, нацеленными на телекоммуникационные компании. Операция имеет сильное сходство с кампанией шпионажа Salt Typhoon, поддерживаемой Китаем и раскрытой в 2024 году, которая также была направлена на телекоммуникационных провайдеров в нескольких странах, используя схожие методы на уровне инфраструктуры для незаметного мониторинга данных и трафика связи.
Именно такой доступ делает взломы телекоммуникационных компаний гораздо более тревожными, чем обычные хакерские атаки. Операторы связи находятся на пересечении правительственной связи, корпоративных данных и потребительского трафика, что делает их привлекательными целями для государств, стремящихся картировать сети, отслеживать потоки или готовить почву для будущих разведывательных операций.
Сингапур описал Operation Cyber Guardian как свои “крупнейшие скоординированные усилия по реагированию на инциденты в киберпространстве, предпринятые на сегодняшний день”. Очистка включала идентификацию скомпрометированных устройств, блокировку путей доступа злоумышленников, устранение уязвимостей и усиление мониторинга для обеспечения того, чтобы злоумышленники не вернулись.
Сингапур предупредил, что телекоммуникационные сети останутся основными целями, и призвал операторов предполагать, что сложные акторы уже тестируют их защиту. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
