Группировка UNC3886 проникла в сети всех четырёх крупнейших операторов связи Сингапура — Singtel, StarHub, M1 и Simba Telecom. Власти в ответ развернули операцию Cyber Guardian — крупнейшую в истории страны. Больше 100 специалистов из шести ведомств, включая военную разведку, работали над зачисткой сетей 11 месяцев. Подробности раскрыла министр цифрового развития Джозефин Тео (Josephine Teo) 9 февраля 2026 года — до этого факт атаки упоминался лишь в общих чертах, без указания целей и деталей.
По данным Агентства кибербезопасности Сингапура (CSA), атакующие действовали с начала 2025 года. Первыми тревогу забили сами операторы — они заметили подозрительную активность и уведомили регулятора IMDA и CSA. Кампанию в агентстве называют целенаправленной и тщательно спланированной.
UNC3886 работала по двум направлениям. В одном из эпизодов группировка применила ранее неизвестную уязвимость нулевого дня в межсетевом экране на периметре сети оператора — то есть использовала ошибку в ПО, о которой не знал даже производитель и для которой не существовало исправления. Это позволило обойти внешний контур защиты и попасть во внутреннюю сеть. Оказавшись внутри, атакующие вытащили небольшой объём технических данных — предположительно, сведения о топологии и конфигурации сети, необходимые для ориентирования в инфраструктуре.
Второе направление, это руткиты: скрытое вредоносное ПО, которое маскирует присутствие злоумышленника в системе, отключает средства защиты и обеспечивает постоянный привилегированный доступ. Обнаружить такие закладки удалось только после сплошной проверки всей инфраструктуры — стандартные антивирусы и EDR-решения их не видели. В одном случае атакующие добрались до критически важных систем, однако продвинуться достаточно далеко, чтобы нарушить работу сервисов, не смогли.
Министр Тео оценила последствия прямо: при успешном развитии атаки злоумышленники теоретически могли бы «однажды отключить телекоммуникационные или интернет-сервисы». Через сети этих операторов работают платёжные системы, транспорт, облачные сервисы и государственные коммуникации. Но до этого не дошло — утечек клиентских данных не зафиксировано, сбоев в работе связи и интернета не было.
Когда масштаб угрозы стал очевиден, CSA и IMDA собрали межведомственную группу из шести структур: само Агентство кибербезопасности, регулятор IMDA, Центр стратегических инфокоммуникационных технологий (CSIT), Служба цифровой разведки вооружённых сил (DIS), технологическое агентство правительства GovTech и Департамент внутренней безопасности (ISD). Больше ста человек работали совместно с командами безопасности самих операторов — ограничивали перемещение злоумышленников по сети, устраняли пути проникновения, разворачивали мониторинг. По итогам CSA заявила, что все известные каналы доступа UNC3886 перекрыты, а операторам рекомендовано провести совместные учения по поиску угроз и пентесты.
UNC3886 APT-группировка, которую исследователи Mandiant (подразделение Google) отслеживают с 2022 года и относят к китайскому кибершпионажу. Обозначение UNC означает uncategorized — отдельное кодовое имя группировке пока не присвоено. Её почерк характерный: UNC3886 целенаправленно бьёт по устройствам, которые обычно выпадают из поля зрения средств обнаружения — межсетевые экраны, гипервизоры, маршрутизаторы. За группировкой числятся атаки через уязвимость CVE-2022-41328 в межсетевых экранах Fortinet FortiGate, CVE-2023-20867 в гипервизорах VMware ESXi, а в 2024 году Mandiant обнаружила бэкдоры на базе TINYSHELL на маршрутизаторах Juniper Junos OS. География целей — оборонные, технологические и телекоммуникационные организации в США и Азии.
Сингапурские власти официально не назвали государство, стоящее за UNC3886, но указали на сходство кампании с атаками Salt Typhoon — от действий этой группировки в 2024–2025 годах пострадали телеком-операторы в США и Канаде. Несколько правительств публично атрибутировали Salt Typhoon Китаю; Пекин причастность к кибершпионажу отрицает. В случае Salt Typhoon в США злоумышленники добрались до систем оперативно-розыскных мероприятий, через которые правоохранители ведут перехват по судебным решениям. В сингапурском инциденте такого не произошло, но тип угрозы — тот же. Кроме того, в 2024 году Bloomberg сообщал, что ещё одна группировка, Volt Typhoon — предположительно скомпрометировала Singtel до нынешнего инцидента.
Сингапурский случай выделяется не только масштабом, но и прозрачностью. Мало какое государство публично раскрывает подробности APT-кампании против собственной критической инфраструктуры — с названиями пострадавших компаний, методами проникновения и перечнем задействованных ведомств. А для тех, кто отвечает за безопасность сетевой инфраструктуры, здесь три конкретных сигнала. UNC3886 последовательно атакует оборудование, которое в большинстве организаций не покрыто агентами мониторинга, — если ваша инфраструктура построена на Fortinet, VMware или Juniper, стоит проверить актуальность прошивок и поискать индикаторы компрометации.
Руткиты на уровне прошивки делают стандартные средства обнаружения бесполезными — CSA прямо об этом пишет. И ещё: обнаружили атаку не регуляторы, а внутренние команды самих операторов. Это весомый аргумент в пользу того, чтобы вкладываться в собственные возможности обнаружения, а не только в средства предотвращения.
