【早知】一探究竟 高級持續性威脅組織UNC3886 | 聯合早報

網絡世界危機四伏，除了時有所聞的黑客和網絡勒索軟件（Ransomware）外，在我們身邊還潛藏着一類更為神秘，也更加危險的網絡威脅分子——高級持續性威脅（Advanced Persistent Threat，簡稱APT）。

APT和普通黑客襲擊有何不同？

APT通常有國家在背後支持，擁有更多的資源和非常明確的目標。

與一般廣撒網、旨在獲取錢財的黑客和勒索軟件襲擊不同，來自APT組織的襲擊經常是有國家目的，例如襲擊別國的關鍵信息基礎設施、擾亂國家正常運作，或潛入信息技術系統、長期收集敏感信息和情報等。

這類組織的攻擊方式通常隱秘且精準，甚至會專門開發針對特定目標的工具進行攻擊，同時不會宣揚攻擊成果，因此偵查和打擊難度更大。

UNC3886是什麼？

據從2022年起一直追蹤UNC3886的谷歌威脅情報團隊（Google Threat Intelligence Group）研判，這是一個與中國有關的APT組織，常用手段包括利用零時差漏洞（即還沒有補丁的安全漏洞）發起針對網絡設備和虛擬化技術的攻擊。

延伸閲讀

[不能再只是防範和制止 尚穆根：我國要能及時遏制網襲後危害

](https://www.bdggg.com/2025/zaobao/news_2025_07_19_1014041) [尚穆根：嚴重網襲事件四年增近四倍 我國有關鍵基礎設施遭黑客組織入侵

](https://www.bdggg.com/2025/zaobao/news_2025_07_19_1014042) 團隊首席顧問林毅豪指出，儘管尚無法斷言UNC3886與中國政府有關，但這個組織的攻擊特徵，即它們使用的戰術、技術與程序，和之前發現的與中國相關的組織存在相似趨勢。

UNC3886的目標是誰？

網絡安全服務商普遍認為，UNC3886主要專注於地緣政治和經濟間諜活動，以及可能的破壞行為。

林毅豪説，這個組織的主要攻擊目標是美國和亞洲地區的國防、科技及電信機構。

谷歌的團隊觀察到，這個組織會利用新型複雜技術，通過特製的工具對虛擬機監控器（hypervisors）、安全設備和網絡設備等進行攻擊，以潛入受害用户的設備。

例如，UNC3886相信曾利用美國網絡通訊設備公司Juniper Network路由器的分區漏洞，植入後門程序，以盜取美國電信服務商和關鍵信息基礎設施的網絡流量數據等敏感信息。

也有證據表明，歐洲、非洲和大洋洲地區也有被這個組織攻擊的受害者。

UNC3886為何攻擊新加坡？

出於國家安全考量，當局目前不會公佈UNC3886針對我國的攻擊細節。

美國信息安全公司SANS Institute工業控制系統（ICS）和數據採集與監控系統（SCADA ）技術指導康威（Tim Conway）指出，APT組織不會隨機選擇目標，受害者不會只因為自身安保不足而受到攻擊，而是早已被選定。

康威認為，這個組織將新加坡選為攻擊目標，可能是因為本區域與日俱增的地緣政治擔憂。

APT威脅有多大？

國家安全統籌部長兼內政部長尚穆根強調，APT襲擊對國家安全的威脅極大。

他舉例説，一旦我國的能源系統受到攻擊，我們的電力供應可能被擾亂。這意味着其他依賴電力的基本服務設施，如供水、交通、醫療服務等都會受影響。同時，銀行、機場和工業設施等也將無法正常運作，我國經濟可能停擺。

如果犯罪分子選擇攻擊金融服務領域，如電信網絡或支付系統，則可能動搖我國的商業運作。例如，我國得重新評估或選擇供應商和供應鏈，同時企業也可能重新評估對我國的信任和信心。