Singapore sotto attacco: il gruppo di ciberspionaggio UNC3886 minaccia le infrastrutture critiche

Singapore sta affrontando un serio attacco alla sua infrastruttura informatica critica, condotto dal gruppo di ciberspionaggio statale UNC3886.

Lo ha rivelato il 18 luglio il Ministro Coordinatore per la Sicurezza Nazionale, K. Shanmugam, identificando per la prima volta l’aggressore. Shanmugam ha sottolineato come Singapore sia bersaglio di minacce persistenti avanzate (APT), attori ben finanziati che impiegano tecniche sofisticate per evadere i controlli di sicurezza, infiltrarsi nelle reti e rimanervi a lungo termine. L’obiettivo è spionaggio, furto di informazioni sensibili o sabotaggio di servizi essenziali.

La Minaccia di UNC3886 e le Sue Ramificazioni

“UNC3886 rappresenta una grave minaccia per noi e ha il potenziale per minare la nostra sicurezza nazionale,” ha dichiarato Shanmugam alla celebrazione del decimo anniversario della Cyber Security Agency (CSA) di Singapore. Ha aggiunto che, anche in quel momento, UNC3886 stava attuando attacchi. Sebbene il ministro non abbia specificato chi supporti UNC3886, esperti del settore collegano il gruppo alla Cina.

L’azienda di cibersicurezza Mandiant ha identificato il gruppo nel 2022, rivelando che UNC3886 ha preso di mira organizzazioni strategiche a livello globale, inclusi settori della difesa, tecnologia e telecomunicazioni. Gli hacker APT come UNC3886 ottengono accessi non autorizzati utilizzando malware personalizzati e exploit “zero-day”, vulnerabilità non ancora corrette, per infiltrarsi nelle reti. Il ministro ha assicurato che la CSA e le agenzie competenti stanno gestendo attivamente la situazione in collaborazione con i proprietari delle infrastrutture critiche.

Anche servizi legati alle forze armate di Singapore sono stati sottoposti agli attacchi, con tanto di intervento del Defense Cyber Command.

Obiettivi e Impatti Degli Attacchi

Shanmugam ha descritto UNC3886 come un gruppo estremamente sofisticato e persistente, con l’intento dichiarato di colpire obiettivi strategici di alto valore e infrastrutture vitali che forniscono servizi essenziali a Singapore. Un eventuale successo potrebbe portare a spionaggio e a gravi interruzioni per il Paese e i suoi cittadini. Dal 2021 al 2024, il numero di presunti attacchi APT a Singapore è aumentato di oltre quattro volte.

Singapore

Il ministro ha evidenziato le potenziali conseguenze: un attacco al sistema elettrico potrebbe paralizzare l’approvvigionamento energetico, creando un effetto domino su altri servizi essenziali come sanità e trasporti. Le implicazioni economiche sarebbero devastanti, con banche, aeroporti e industrie incapaci di operare. Anche i sistemi di telecomunicazione e pagamento sono a rischio, con serie ripercussioni sulla fiducia internazionale e sulle relazioni commerciali di Singapore.

Precedenti Attacchi e Vulnerabilità di Singapore

Shanmugam ha ricordato episodi passati che dimostrano la vulnerabilità di Singapore, citando attacchi APT in Ucraina che hanno causato interruzioni di corrente e un attacco a un’azienda di telecomunicazioni sudcoreana nel 2025 che ha esposto i dati di quasi 27 milioni di utenti. “Siamo un paese rilevante geopoliticamente e un hub digitale e di dati che connette il mondo,” ha affermato, sottolineando come Singapore sia un bersaglio appetibile per attori che cercano di influenzare o minacciare il Paese.

Tra gli attacchi pubblici in cui i responsabili non sono stati nominati per ragioni di sicurezza nazionale, si annoverano:

• 2014: una violazione nei sistemi del Ministero degli Affari Esteri.
• 2017: intrusioni nelle reti della National University of Singapore (NUS) e della Nanyang Technological University (NTU), che miravano a dati governativi e di ricerca legati a progetti in settori chiave.
• 2018: la peggiore violazione di dati del Paese, che ha coinvolto i dati personali di 1,5 milioni di pazienti, incluso l’allora Primo Ministro Lee Hsien Loong. L’attaccante ha eluso le misure di sicurezza per nove mesi per accedere al sistema di cartelle cliniche elettroniche di SingHealth.
• 2024: circa 2.700 dispositivi a Singapore sono stati infettati in una vasta operazione contro una botnet globale, sfruttando la scarsa igiene informatica di dispositivi come baby monitor e router, sebbene non siano state colpite infrastrutture critiche.

Il capo della CSA, David Koh, ha ribadito che il ciberspazio è un dominio contestato e che l’agenzia è in prima linea per garantire la sicurezza di Singapore, adattandosi costantemente alle minacce emergent.