新加坡訊:去年,一批文件被泄露至暗網,聲稱有255家與新加坡關鍵信息基礎設施(CII)相關的組織在隱蔽的網絡行動中遭到滲透。這批共12,000份文件據稱源自一個表面上以網絡安全公司身份運營、實則從事黑客活動的團體。出於安全考量,CNA暫未公開該團體名稱。
其中一份文件列出了重點目標國家,新加坡赫然在列。文件指出,涉及電信、能源和金融等核心CII領域的公司均已被攻破。谷歌旗下的網絡安全團隊指出,有跡象表明此次攻擊背後可能涉及國家支持的黑客組織。
(圖:泄露文件的脫敏樣本)
谷歌威脅情報組亞太、日本及中東與非洲區首席威脅情報顧問林毅豪表示:"我們發現一些線索表明,新加坡是某私營公司客戶指派的目標區域之一,用於情報收集。"他指出,國家行為體與私營承包商之間可能存在某種合作關係,但謹慎避免將此次攻擊直接歸咎於某一特定國家。
"這些文件可能是偽造的,也可能是其他勢力為抹黑某國而精心策劃的行動,"他補充道。
網絡安全專家向CNA指出,此次攻擊或只是冰山一角——越來越多的中小型企業(SMEs)正成為黑客的重點目標。由於許多支持CII運營的企業正是中小企業,數字供應鏈的薄弱環節可能成為攻擊突破口。
新加坡:關鍵戰略目標
這並非新加坡首次遭遇重大網絡攻擊。2025年,國家安全統籌部長韓尚志曾指出,高級持續性威脅組織UNC3886是持續攻擊新加坡的幕後黑手,其主要目標為電信行業。谷歌旗下的網絡安全公司Mandiant將UNC3886描述為"疑似與中國有關的情報行動者",儘管中國政府否認與其存在關聯。
新加坡網絡安全局(CSA)報告顯示,自2021年至2024年,由UNC3886等高級持續性威脅發起的疑似攻擊數量增長超過四倍。
美國網絡安全公司CrowdStrike高級副總裁亞當·邁爾斯表示,新加坡仍是亞太地區最受攻擊的五大國家之一。
"新加坡地處亞洲航運樞紐,是區域金融中心,各國自然希望掌握進出該國的各類情報,"他說。他特彆強調電信系統的情報價值——當外國勢力試圖追蹤異見人士時,可通過手機號定位其行蹤、社交圈與通信內容。
分析師認為,外國行為體可能通過滲透供應鏈中的中小企業,逐步侵入電信與關鍵基礎設施核心系統。
攻擊者是誰?如何協同作戰?
針對新加坡企業的攻擊來自多種威脅行為體:
勒索軟體團體:加密或鎖定數據,以泄露為威脅索取贖金;
初始訪問經紀人(IABs):入侵網絡後,將訪問權限出售給其他犯罪分子;
黑客行動主義者:如Anonymous等具有政治或意識形態動機的組織;
國家支持型行為體:代表政府執行間諜或戰略行動。
分析師指出,這些角色正日益重疊。國家行為體可藉助IAB等犯罪團體獲取入口點與情報,再動員黑客行動者、勒索軟體團伙甚至有組織犯罪集團協同發起攻擊。這種誤導策略使調查複雜化,導致責任歸屬難以釐清。
網絡安全公司Group-IB亞太區高科技犯罪調查主管蘇潔瑩表示,經驗豐富的網絡罪犯合作可使攻擊"更加精密"。
"他們留下的痕跡極少,調查難度極大。"
谷歌的林毅豪強調,識別攻擊者身份對調查至關重要:"一旦我們確定是誰在背後操作,或哪個國家主導了此次行動,就能根據當前地緣政治緊張局勢推斷其目標,並快速識別出我們最需要保護的『皇冠明珠』。"
中小企業:最脆弱的一環
新加坡的CII部門受《網絡安全法》監管,要求實施更高安全標準並強制報告事件。但專家警告:儘管核心企業受嚴格管控,其周邊生態系統卻可能漏洞百出。
CII運營商依賴眾多供應商——包括中小企業——提供物流、軟體開發、工程與專業服務。然而,這些中小型企業並未被《網絡安全法》直接監管。
"這是一個巨大的弱點,"網絡安全服務商Mimecast亞太區副總裁兼總經理蔡妮琪表示:"每個與關鍵基礎設施企業有業務往來的組織,都成為攻擊目標。如今許多網絡攻擊者專攻最薄弱的一環——這是一條更易切入的路徑。"
據CSA《2024/2025新加坡網絡景觀報告》,2024年勒索軟體事件增長21%,共記錄159起。製造業與專業服務業受影響最嚴重,其中專業服務行業的多數攻擊均針對中小企業。
網絡安全公司Strongkeep執行長高瑞吉指出,中小企業的安全事件可能遠超官方統計。
"很多事件是自願上報的……但我們在中小企業領域普遍認為存在嚴重漏報。"
他補充道,攻擊者正越來越青睞中小企業:"它們更容易攻破,獲利空間也越來越大。過去幾年,許多企業已加速數字化進程。"
截至2024年,新加坡運營中的中小企業超過35萬家,為攻擊者提供了海量潛在入口。
"不幸的是,儘管被重點瞄準,中小企業仍持續比其他經濟部門更缺乏保護,"高瑞吉說。
勒索攻擊來襲時
對部分中小企業而言,威脅已非紙上談兵。
2023年10月,貨運公司Penanshin Air Express遭遇勒索軟體攻擊。其員工數據、報價與客戶信息被加密鎖定,兩家關聯公司亦受牽連。
據該公司執行董事陳伯年表示,攻擊者索要1,500萬美元贖金,但公司最終拒絕支付。
(圖:針對Penanshin Air Express的攻擊者郵件)
所幸,其核心運營資料庫未受影響。
"我們很幸運。攻擊只波及舊數據,業務照常運轉,"陳伯年說。
但因敏感信息外泄,公司過去一年與警方、個人數據保護委員會及CSA密切合作展開調查。此次事件成為公司警鐘,凸顯中小企業面對網絡攻擊時的無力感。
"對中小企業而言,成本是最大難題。其次,我們缺乏應對知識,"陳伯年坦言。
公司隨後在外部專家協助下強化防禦:部署防火牆、實施終端防護、開展釣魚模擬演練,即便仍持續面臨後續攻擊。
"以前我們沒有網絡安全專家,直到事情發生才意識到問題,"他補充道。
中小企業面臨多重優先級衝突
行業觀察人士指出,越來越多像Penanshin這樣的中小企業正認真對待網絡安全,尤其在攻擊日益複雜化背景下。
Strongkeep表示,已觀察到中小企業對增強防禦的顯著興趣。
但意識不等於行動。新加坡中小型企業協會(ASME)指出,許多企業正承受經濟壓力、成本上升與人工智慧等數字工具的部署需求,導致網絡安全難以獲得足夠資源。
"未來六至九個月,焦點將集中在AI如何簡化運營——從中小企業視角看,如何讓AI為我所用?至於網絡安全,他們很可能仍採取『照常營業』策略,"ASME主席黃郁說。
黃郁建議,可將網絡安全標準與商業機會掛鉤:"那些提升安全等級的企業,將獲得參與政府項目與計劃的更多准入機會。"
新加坡如何提升安全門檻?
當局正同步強化監管框架。
2024年,新加坡國會通過《網絡安全法》修正案,擴大CII所有者必須向CSA報告的事件範圍,涵蓋其供應鏈,以提升國家態勢感知能力。
CSA亦與資訊通信媒體發展局、企業新加坡等機構合作,擴大資助與支持計劃,協助中小企業改善網絡衛生。
國家標準如《數據保護基礎》、SG Cyber Essentials Mark(CEM)、SG Cyber Trust Mark及ISO/IEC 27001,為希望強化安全態勢的企業提供基礎基準。
儘管CII運營方依法須遵守嚴格網絡安全規範,但包括其供應商在內的中小企業目前尚無強制合規要求。相反,安全標準多通過合同由CII企業施加於供應商。
今年1月通過的《公共部門治理法》修正案,亦提升了處理敏感政府信息企業的安全標準。但具體是否強制執行細則尚未公開。
高瑞吉特別推崇CEM作為中小企業的實用起點,指出其明確了保護系統、數據與網絡免受常見威脅的核心實踐。
"這種自上而下的溢出效應,將迅速蔓延至整個中小企業生態系統。它提升了新加坡所有企業的安全基線,使我們整體成為更難攻破的目標,"他補充道。
