本地电信公司的系统在去年遭到国际黑客组织入侵,但没有客户资料外泄,也没证据显示黑客曾读取这些资料。
国家安全统筹部长兼内政部长尚穆根去年7月披露,代号UNC3886的黑客组织对我国展开“高级持续性威胁”(Advanced Persistent Threat,简称APT)攻击。数码发展及新闻部长杨莉明星期一(2月9日)在“网络守护者行动”交流活动上,首次透露遭受攻击的包括本地四家电信公司——新电信、星和、第一通和Simba,以及我国所采取的防卫行动。
当局的调查显示,黑客入侵系统后,虽然提取了少量的技术数据,但没有提取或阅读客户资料。黑客提取到的技术数据,相信主要是网络相关数据,理论上能够让他们继续匿藏在系统中,以及协助他们进一步入侵系统的更深处,推进所要达成的行动目标。
黑客是曾入侵到某些关键系统中的一些区域,但不至于非常深入,没有导致互联网连接等服务受到干扰。
高级持续性威胁攻击可能造成严重影响。例如韩国的SK电讯去年4月发现系统被黑客入侵,逾2300万名用户的资料遭外泄,导致用户面对SIM卡被复制的风险;美国多家电信服务供应商则于前年,在代号“盐台风”的网络间谍行动中遭攻击,黑客旨在打击美国的国家情报机构。
不过,由于我国政府及时介入,UNC3886对我国展开的攻击,所造成的破坏不及其他国家和地区遭受到的攻击。
本地四家电信公司在去年3月发现本身的系统有可疑活动,于是拉响警报。由于表面上看来问题不大,根据当时的网络安全行为准则,电信公司无须向有关当局汇报情况。不过,电信公司仍决定通报当局。
UNC3886绕过外层防火墙 骇入电信公司网络
新加坡网络安全局介入调查后发现,电信公司遭受高级持续性威胁攻击。政府立即召集多个公共机构的专家人员组成防卫队,展开代号“网络守护者行动”(Operation Cyber Guardian)的全面防卫行动。
在其中一起攻击行为中,UNC3886利用面向互联网的系统所存在的“零日漏洞”(zero-day vulnerability),绕过外层防火墙,骇入电信公司的网络。零日漏洞指的是还没有被开发者或供应商发现和修复的安全缺陷,黑客利用这些漏洞时,官方没有可用的补丁或防御措施。
UNC3886接着在电信公司的网络中植入恶意软件,例如美杜莎病毒(Medusa)和具有复杂命令与控制基础设施的系统后门。前者让黑客得以保持在线状态并窃取用来验证用户身份的凭据,后者则让他们能绕过防火墙,持续侵入电信公司的网络。
黑客的行动隐蔽,在侵入过程中躲避侦测。他们通过使用rootkit类软件和清理电脑系统日志等手段,掩盖踪迹。当局因此必须对多个网络系统进行全面的安全检查。
政府防卫队防御工作持续进行中
政府防卫队在展开反击并清理受感染的电信公司系统时,UNC3886还改变所采用的战术、技术和程序,试图保持低调。
政府的反击工作包括把UNC3886驱逐出电信公司的系统、封掉黑客使用的后门、加强检测措施和提高防御能力,以及重新设计网络并加固系统,以防止进一步攻击。防卫队也检查其他系统与网络,确保没有藏匿UNC3886,这项工作至今仍在进行。
为确保防御功能到位、侦测黑客入侵的措施有效,当局也展开紫队演练(purple-teaming)。紫队是维持网络安全工作中,融合红队(进攻)与蓝队(防御)的协作模式,即演练时攻击者模拟真实威胁,与防御者实时交流攻击战术和检测机制。
与此同时,新加坡网络安全局举行闭门说明会,讲解黑客攻击的形势,警惕其他拥有关键信息基础设施的机构,让它们检查本身的系统,看是否有被黑客攻击的迹象。
由于互联网世界实际存在着各类威胁,UNC3886也可能卷土重来,有关当局与电信公司持续合作,提升整体网络安全体系、加强安全态势。政府也与国际和区域合作伙伴,以及亚细安各国分享相关的消息。
