«Нулевой день», четыре оператора и 100 специалистов. Как Сингапур отражал крупнейшую в истории кибератаку

Крупнейшие операторы связи Сингапура стали целью скрытой кибератаки, за которой стоит хорошо подготовленная хакерская группа UNC3886. Злоумышленникам удалось проникнуть в часть внутренних систем, но утечки данных клиентов не произошло, а саму атаку удалось вовремя остановить.

Под удар попали сразу четыре ведущих телекоммуникационных компании страны: Singtel, M1, StarHub и Simba. О происшествии сообщили государственные органы Сингапура. По их данным, признаков кражи конфиденциальной информации абонентов не обнаружено. Министр цифрового развития и информации Жозефина Тео заявила, что в одном из эпизодов атакующие получили доступ к нескольким критически важным узлам, однако не смогли продвинуться дальше и повлиять на работу сервисов.

Группу UNC3886 относят к шпионским структурам, которые предположительно связаны с Китаем. Ранее она уже фигурировала в атаках на стратегические организации по всему миру. Власти Сингапура ещё летом прошлого года предупреждали об активности «высокотехнологичного противника», не раскрывая деталей.

Расследование и отражение атаки проходило в рамках общенациональной операции под названием «Киберстраж». Она началась после того, как операторы связи сообщили о подозрительной активности в сетях в Агентство по кибербезопасности Сингапура и Управление по развитию инфокоммуникационных технологий. В операции участвовали более ста специалистов из шести ведомств, включая Центр стратегических инфокоммуникационных технологий, цифровую и разведывательную службу вооружённых сил, Департамент внутренней безопасности и государственное технологическое агентство. Это самая масштабная скоординированная кибероперация в истории страны.

По данным регуляторов, злоумышленники использовали уязвимость нулевого дня. Речь идёт об ошибке в программе, о которой разработчики ещё не знали и для которой не существует исправления. С её помощью удалось обойти сетевую защиту периметра и попасть во внутренние сегменты сети. Также хакеры применяли скрытые управляющие модули, которые маскируют присутствие вредоносных программ и позволяют удерживать доступ на уровне администратора. Это заметно усложнило обнаружение вторжения и потребовало полной проверки инфраструктуры.

Атакующие всё же смогли вывести небольшой объём технических данных. По оценке властей, это в основном служебная сетевая информация, которая могла понадобиться для дальнейшего продвижения внутри систем. Все выявленные точки доступа были закрыты, меры защиты усилены, а наблюдение за сетями расширено на случай повторных попыток проникновения.

Министр отметила, что при неблагоприятном развитии событий последствия могли затронуть банковский сектор, транспорт и медицину. Пока ущерб оказался значительно меньше, чем в ряде зарубежных инцидентов, но это не повод расслабляться. По её словам, телекоммуникационная инфраструктура остаётся одной из главных целей для государственных хакерских групп, поскольку через неё проходит огромный объём чувствительной информации.

Операторы связи заявили, что применяют многоуровневую защиту и оперативно закрывают найденные уязвимости. Они также работают совместно с государственными структурами и отраслевыми экспертами для повышения устойчивости сетей.

Власти Сингапура подчёркивают, что атаки на критическую инфраструктуру будут продолжаться. За последние годы активность устойчивых хакерских групп в стране выросла более чем в четыре раза. Подобные инциденты уже приводили к крупным утечкам у операторов связи в других странах, поэтому готовность к новым попыткам вторжения теперь рассматривается как постоянная задача.