(新加坡6日讯)以新加坡坡为基地、向国外发动网路攻击的3名中国籍团伙成员被判刑,他们使用或企图使用的恶意软体PlugX,正是骇客组织“UNC3886”对新加坡发动攻击、入侵部分关键基础设施所使用的工具之一。
今年7月,新加坡国家安全统筹部长兼内政部长尚穆根透露,一个代号为“UNC3886”的骇客组织正对新加坡发动“高级持续性威胁组织”(Advanced Persistent Threats,简称APT)攻击,入侵部分关键基础设施。这是新加坡首次点名对新加坡发动攻击的骇客组织。
谷歌旗下网路安全机构麦迪安指出,“UNC3886”是一个与中国有关的网路间谍组织,主要针对政府、国防、通讯、能源与公用事业等关键基础设施发动攻击。他们使用的一系列骇客工具中,也包括PlugX。
中国驻新加坡大使馆否认“UNC3886”与中国有关,表示“坚决反对任何针对中国的无端抹黑”。
在本案中,3名中国籍被告黄勤政(37岁)、刘宇棋(32岁)和严培建(38岁)均否认与任何APT组织有关,也声称不了解这些骇客组织。不过,调查显示,他们并非网路安全研究人员或从事网路安全相关工作的人员,因此无法以“研究或测试用途”为由解释所持有的PlugX等恶意软体。
3名中国籍被告因在新加坡组织犯罪团伙,对国外网站发动恶意网路攻击,以获取巨额加密货币等非法经济利益,周三(11月5日)被定罪。
尽管该犯罪团伙声称,只针对海外网站或非法赌博网站,会刻意避开新加坡政府系统,但警方在严培建的电脑发现涉及5个澳洲、阿根廷与越南政府网站漏洞的讨论纪录。
此外,警方也在刘宇棋的电脑中发现一封哈萨克外交部与工业及基础设施发展部官员之间的机密电子邮件。
根据案情,警方在2024年9月逮捕他们时,查获大量具备渗透、提升系统权限及资料外传功能的远程木马和漏洞利用程序。
其中,刘宇棋的电脑中发现14个与PlugX有关的木马。严培建的设备中发现一份包含可连接至PlugX伺服器凭证的IP位址档案。黄勤政的设备中则检获3种酬载编写器,其中一款可用于产生与PlugX相关的载重。
PlugX是一种复杂的远程木马,被一些与中国有关的高级持续性威胁组织(简称APT)或骇客团体广泛采用。
所谓APT,是一种持久、隐蔽且目标明确的网路攻击形式,通常由国家级骇客组织或高水准的骇客团体发动,旨在获取敏感资讯、情报或控制目标系统。
PlugX的基本运作与大多数远端木马类似,先透过钓鱼或漏洞取得初始存取并执行负载长期驻留,随后在需要时与远端伺服器连线,窃取资料、提升权限并横向扩散。
不同的是,PlugX采用模组化设计,隐密性更高。它像一个可插入不同配件的工具箱,攻击者可按需载入窃密、记录键盘、截图等模组,并以伪装或多种持久化手法藏匿系统深处。它与远端伺服器的通讯还会加密混淆,难以被侦测。
