O setor de telecomunicações de Singapura foi alvo de uma campanha cibernética deliberada e planejada pelo grupo de Ameaça Persistente Avançada (APT) UNC3886, conforme revela comunicado publicado ontem pela Cyber Security Agency of Singapore (CSA). De acordo com Josephine Teo, Ministra do Desenvolvimento Digital e Informação e responsável pela Cibersegurança, as quatro maiores operadoras do país — M1, SIMBA Telecom, Singtel e StarHub — foram atacadas. O UNC3886 é definido pelo MITRE ATT&CK como um grupo de ciberespionagem com ligações à China, ativo desde pelo menos 2022, que tem como alvo organizações de defesa, tecnologia e telecomunicações localizadas nos Estados Unidos e nas regiões da Ásia-Pacífico-Japão (APJ): “O UNC3886 demonstrou um profundo conhecimento de dispositivos de borda e tecnologias de virtualização através da exploração de vulnerabilidades de dia zero e do uso de novas famílias e utilitários de malware“.
Exploração de zero-day e persistência em redes
O grupo UNC3886 utilizou ferramentas avançadas, incluindo um zero-day para contornar firewalls de perímetro e acessar redes das operadoras, segundo informa a CSA no documento “Largest Multi-Agency Cyber Operation Mounted to Counter Threat Posed by Advanced Persistent Threat (APT) Actor UNC3886”. De acordo com a agência, o ator de ameaça também empregou rootkits para manter acesso persistente e ocultar seus rastros, dificultando a detecção durante meses. Conforme detalha o relatório conjunto com a Infocomm Media Development Authority (IMDA), os atacantes conseguiram exfiltrar uma pequena quantidade de dados técnicos relacionados às redes para avançar em seus objetivos operacionais.
Resposta coordenada da Operação Cyber Guardian
A Operação Cyber Guardian mobilizou mais de 100 defensores cibernéticos de diversas agências governamentais ao longo de onze meses para conter as invasões, afirma o comunicado da CSA. Conforme explica a agência, embora o atacante tenha obtido acesso limitado a sistemas críticos, não houve evidências de exfiltração de dados sensíveis de clientes ou interrupção de serviços de internet até a data de publicação do relatório.
Vigilância contínua e remediação de sistemas
Medidas de remediação foram implementadas para fechar os pontos de acesso do UNC3886 e expandir as capacidades de monitoramento nas operadoras afetadas, informa a CSA. Segundo Teo, as operadoras de telecomunicações são alvos estratégicos por transmitirem vastas quantidades de informações e sustentarem a economia digital. De acordo com o comunicado, as empresas do setor estão realizando intervenções como caça conjunta a ameaças e testes de penetração, enquanto o governo introduz iniciativas para elevar o nível de resposta a incidentes cibernéticos em todo o ecossistema nacional.






