從UNC3886事件看新加坡全政府資安韌性
2026.03.06
瀏覽數
1157
壹、前言
2026 年 2 月 9 日,新加坡「數碼發展及新聞部」(Ministry of Digital Development and Information, MDDI)部長楊莉明(Josephine Teo)證實,包括新加坡電信(Singtel)在內的四大電信業者,均遭代號為 UNC3886 的國家級駭客組織長期滲透。[1]這是自2025年7月19日,新加坡「國家安全統籌部長」(Coordinating Minister for National Security)部兼內政部長尚穆根(K. Shanmugam)公開點名UNC3886的行動後,首次公開透露新加坡政府的後續因應作為。[2]
在新加坡政府的因應作為中,值得關注的是首次公開代號為「網絡衛士行動」(Operation Cyber Guardian)的相關執行細節。由新加坡「網絡安全局」(Cyber Security Agency, CSA)主導的「網絡衛士行動」共歷時 11 個月,並首次與「國防數碼防衛與情報軍」(Digital and Intelligence Service,以下簡稱數位軍)部隊偕同進行關鍵資訊基礎設施(Critical Information Infrastructure)防衛。[3]
由於UNC3886為谷歌雲端資安部門曼迪安(Google Cloud/Mandiant)賦予的進階持續威脅(Advanced Persistent Threat, APT)組織代號,且經研究指向為中國政府支持的國家級行為者,[4]因此新加坡政府指名組織並公布細節,也引發外界對於其外交手段精準判斷的討論。[5]但新加坡作為亞太區域數位樞紐,仍需防範成為美中競爭「代理戰場」的風險,因此更關鍵的是,新加坡政府以此次事件,對其「全政府」(Whole-of-Government)資安防衛體系的一次總驗收,展示其在面對國家級威脅時,具備跨部會協同獵殺(Joint Threat Hunting)的實質韌性。對面臨相關威脅的各國來說,是極具參考價值的實際案例。
貳、安全意涵
一、以「網絡衛士」行動作為「數位軍」成軍總測考
新加坡數位軍於 2022 年 10 月 28 日正式成軍,是新加坡武裝部隊(Singapore Armed Forces)繼陸、海、空三軍之後的第四軍種,以數位領域作戰為核心任務。[6]數位軍現行組織架構(見表一),由數位軍長兼軍事情報首長李毅駿少將(Major General Lee Yi-Jin)為部隊指揮官,與陸海空三軍同為少將編階,下設人事、情報、作戰、工程與後勤、計畫及訓練六大幕僚處。
數位軍直屬單位,則有負責防禦國防部與武裝部隊網路威脅並支援全政府網路防衛的「國防網路指揮部」(Defence Cyber Command, DCCOM);負責電子防護與心理防衛的「數位防衛指揮部」(Digital Defence Command);肩負人才培育的「數位軍訓練指揮部」;提供軍事情報的「聯合情報指揮部」(Joint Intelligence Command);以及整合通訊與數位化能量的「新加坡武裝部隊指管通資與數位化指揮部」(SAF/C4DC)的五大指揮部。[7]
值得注意的是,「國防網路指揮部」是 2025 年 3 月 18 日才正式增設,由原網路參謀部及指管通資電指揮部/網路安全特遣隊(SAFC4COM/CSTF)移編整併而來,而「網絡衛士行動」展開(2025 年 3 月至 2026 年 2 月),幾乎與「國防網路指揮部」的成軍同步進行,其中新設之網路防護群(Cyber Protection Group),即為數位軍與網絡安全局等各政府機關協作的對口單位。[8]
圖、新加坡數位軍現行組織架構
圖片說明:*加註者為2025年3月增設單位,†表移編重組單位,網路防衛測試中心預計今年轉型為網路防衛測試與實驗中心,詳見趨勢研判。
資料來源:作者整理自新加坡國防部公開資料。
從組織架構來看,數位軍因應威脅的組織重整,也與美國國防部透過「霰彈洋基」行動(Operation Buckshot Yankee)將陸海空三軍網路部隊統整改組為網路司令部(USCYBERCOM),以因應「agent.biz」惡意程式對國防部網路(DoD Information Network, DODIN)威脅的成軍背景相近。[9]不同的是,新加坡數位軍「國防網路指揮部」成軍不但是在「實戰即成軍、成軍即作戰」的高壓情境下完成整合,更在其組織架構層面即已確立其跨政府協作機制,透過「網絡衛士」行動同步完成單位成軍後的初次實戰測考。
二、驗證以實力建構韌性的數位防衛典範
新加坡於 2019 年 2 月 15 日正式將「數位防衛」(Digital Defence)列為國家「全面防衛」(Total Defence)的第六大支柱,與軍事、民防、經濟、社會及心理防衛並列。當時官方宣傳「數位防衛」主軸是「保持安全、保持警覺、負責任地使用網路」,外界普遍將之理解為網路衛生(Cyber Hygiene)普及教育,而非實際執行層面。[10]然而,由跨政府單位共同組成的逾百名人員,共同執行橫跨十一個月的「網絡衛士行動」,證明第六支柱已非單純的口號,而是可動員軍民力量共同捍衛關鍵資訊基礎設施的執行實力。
新加坡面對國家級行為者所展現的韌性,是來自「假設已遭入侵」(Assume Breach)的主動作戰思維,並透過行動重新定義數位韌性實質內涵。新加坡各電信業者偵測到異常後主動通報,政府機構隨即展開聯合威脅獵殺(Joint Threat Hunting)、滲透測試與全面安全檢核,成功封閉攻擊者的進入路徑並擴大監控能力,最終在無服務中斷、無客戶個資外洩的情況下完成清除行動。[11]這種主動防禦能力,正是建立在數位軍成立以來所積累的實戰訓練基礎之上。
但真正使韌性制度化,則需要配套的法制建設。新加坡2024 年通過、2025 年 10 月正式生效的《網絡安全法》修正案,除原有的關鍵資訊基礎設施外,更將雲端系統等由第三方營運的虛擬服務納入關鍵資訊基礎設施,大幅擴展網路安全局的監管範疇,並規定關鍵資訊基礎設施運營方須在兩小時內通報網路事件,為跨部門快速應變奠定法律基礎。[12] 此外,網路安全局與數位軍已於 2022 年11月簽署「聯合作戰協定」(Joint Operations Agreement),建立軍民網路防禦的常態化協作機制,不僅確保如「網絡衛士行動」此類的軍民聯合應變作為,能夠在既有法令框架下直接啟動,也為共同演練等能力建構合作建立基礎。[13]這說明真正的韌性,必須奠基在完備的法律授權、清晰的指揮協作架構,以及常態性演練三者之上,缺一不可。
參、趨勢研判
一、國家行為者從破壞轉向戰略預置
近年來,國家級行為者的攻擊目標與手法,已從追求立即可見的破壞效果,轉變為更具耐心的長期戰略預置(pre-positioning),而此趨勢在 UNC3886 等組織的行動中尤為明顯。[14]傳統的網路攻擊往往依賴部署自製惡意軟體,但現代端點偵測與回應(Endpoint Detection and Response, EDR)系統已能識別此類惡意軟體相關特徵。有別於此,UNC3886 完全放棄惡意軟體,轉而利用目標系統內建的合法管理工具與原生指令,在幾乎不留下異常痕跡的情況下完成滲透。
由於攻擊者的行為與系統管理員的日常操作幾乎無從區分,此類「離地攻擊」(Living off the Land, LotL)的混淆手法,不僅大幅降低了遭偵測的風險,更直接挑戰行為分析類型的網路防禦機制。[15]值得注意的是,此次攻擊的主要目標並非資料竊取或服務中斷,而是系統性蒐集並竊取受害組織的網路拓樸(network topology)與配置資訊。[16]這表示攻擊者已完成目標基礎設施的「地形勘察」,為日後在地緣政治衝突升級時能夠迅速、精準地展開行動鋪路。換言之,滲透本身不是目的,而是為未來戰爭進行前置部署。
此類行動的另一個顯著特徵,是攻擊者刻意選擇邊緣網路設備作為突破口,包括企業路由器、防火牆及 VPN 閘道等等。受限於硬體架構與作業系統的特殊性,這類設備長期處於資安防禦的灰色地帶,幾乎無法部署傳統防毒軟體與 EDR 解決方案,設備日誌紀錄的資訊有限,形同防禦體系中結構性死角。[17]在此情境下,過去依賴廠商定期發布安全更新的被動防禦模式,已明顯不足。
當攻擊者能夠在漏洞公開揭露之前便完成滲透,甚至具備對韌體進行逆向工程的能力時,防禦方若無法以同等速度理解自身設備的底層行為與潛在弱點,便難以在遭入侵前及時應對。因此,現代關鍵基礎設施的防禦策略必須從被動的更新管理,進化為主動的威脅狩獵(Threat Hunting)與設備韌體安全審查,並建立對邊緣設備異常行為的持續監控能力。面對已將「潛伏」視為核心戰術的國家級對手,任何防禦空白都可能成為未來衝突中被精準引爆的潛伏據點。
二、區域數位樞紐以實力建構防範「代理戰場」風險
雖然新加坡面對美中競爭的大國博弈,以往均採取「等距」的外交策略,但隨著 AWS、Google、Microsoft 以及 Meta 等科技巨頭陸續將亞太區總部與核心基礎設施落腳於此,並大量投資建置聯外海底光纜與資料中心,新加坡已成為區域數位樞紐,難以置身於大國角力之外。[18]目前,由新加坡登陸的海底光纜數量已超過 26 條,並計畫於 2028 年前倍增至逾 40 條;AWS 亦承諾投入逾新幣 120 億元,擴建新加坡當地雲端基礎設施,Google 的累計投資承諾則達 50 億美元。[19]鑒於新加坡節點所承載的跨太平洋資料流量,對攻擊者而言,此地是政治與戰略價值兼具的高價值目標,攻擊其電信網路顯為截取全球數據的最短路徑,可能成為美中競爭的「代理戰場」。
因此,在政治與經濟雙重因素的驅動下,新加坡必須展現具備保護過境資料(Transit Data)的能力和決心。新加坡政府在公開聲明中指明 UNC3886,但刻意僅以「受國家資助」描述其背景,未直接點名中國,以「技術歸因」策略,透過揭露攻擊者的技術細節與行為模式來達成嚇阻與警示效果,藉以迴避直接的政治指控,維護與各方的外交彈性。
然而就歷史先例觀之,僅有公開指名而無實際後續作為,嚇阻效果通常十分有限。為展現更積極的防禦意志,新加坡政府採取多層次的應對布局:由數位軍與網路安全局聯合主辦的「關鍵基礎設施網路威脅防護演練」(Critical Infrastructure Defence Exercise, CIDeX),自 2023 年起每年舉行,2025 年時已涵蓋全部 11 個關鍵資訊基礎設施領域,逾 250 名來自 35 個組織的參與者進行跨部門紅藍對抗演練。[20]由網路安全局主辦的兩年一度全國網路危機管理演練「網路之星演習」(Exercise Cyber Star, XCS)則以危機指揮協調為核心,歷時 11 天的2025 年XCS規模為歷年最大,由來自政府機構、武裝部隊與各關鍵基礎設施運營方近 500 名成員共同參與。 [21]
與此同時,數位軍亦持續精進轉型,並參與多國演練,提升自身戰力。成軍後不僅參與由英國陸軍網路協會主辦的多邊演練「防禦網路奇蹟」(Defence Cyber Marvel, DCM),2026 年移師新加坡舉行,來自 29 個國家逾 2,500 名人員共同應對模擬APT攻擊情境。[22]新加坡國防部更在2月27日國會預算討論中宣布,將於數位軍成立「關鍵領域網絡防衛隊」(Sectoral Cyber Defence Teams),由後備軍人組成,支援網絡安全局任務,共同防衛電信、能源、交通等領域的關鍵資訊基礎設施;亦預劃將既有網路防衛測試中心(Cyber Defence Test and Evaluation Center),轉型為網路防衛測試與實驗中心(Cyber Defence Test and Experimentation Center),強化創新發展,並自今年起分階段啟用數位靶場(SAF Digital Range),提供數位軍真實模擬演訓環境,並可支援跨部會、關鍵基礎設施與企業的大規模聯合演練。[23]新加坡透過各項演練與能力建構,不但兼顧國內能量建構,更構成國際聯防體系,以實力建構網路安全戰略支柱。
[1] “Largest Multi-Agency Cyber Operation Mounted to Counter Threat Posed by Advanced Persistent Threat (APT) Actor UNC3886 to Singapore’s Telecommunications Sector,” Ministry of Digital Development and Information Singapore, February 9, 2026, https://www.csa.gov.sg/news-events/press-releases/largest-multi-agency-cyber-operation-mounted-to-counter-threat-posed-by-advanced-persistent-threat--apt--actor-unc3886-to-singapore-s-telecommunications-sector/.
[2] “UNC3886 Is Attacking Our Critical Infrastructure Right Now,” The Cyber Express, July 18, 2025 https://thecyberexpress.com/unc3886-critical-infrastructure-singapore/.
[3] 林偉杰,〈追蹤黑客及系統加固難度大 動員逾百人參與網襲應對行動〉,《聯合早報》,2026年2月9日,https://www.zaobao.com.sg/news/singapore/story20260209-8412382。
[4] “Cloaked and Covert: Uncovering UNC3886 Espionage Operations,” Google Cloud / Mandiant, June 19, 2024, https://cloud.google.com/blog/topics/threat-intelligence/uncovering-unc3886-espionage-operations; “Ghost in the Router: China-Nexus Espionage Actor UNC3886 Targets Juniper Routers,” Google Cloud / Mandiant, March 12, 2025, https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-espionage-targets-juniper-routers.
[5] “Singapore Takes Measured Response to State-Backed APT Cyber Attacks,” Cyber Press, July 2025. https://cyberpress.org/singapore-takes-measured-response/.
[6] 初設時組織架構等資訊,請參杜貞儀,〈簡析新加坡之「國防數位防衛與情報軍」〉,《國防安全雙週報》,https://indsr.org.tw/respublicationcon?uid=12&resid=1923&pid=3531。
[7] “Fact Sheet: Defence Cyber Command and SAF C4 & Digitalisation Command,” Ministry of Defence Singapore, March 3, 2025. https://www.mindef.gov.sg/news-and-events/latest-releases/03mar25_fs/.
[8]Ibid.
[9] William J. Lynn III, “Defending a New Domain,” Foreign Affairs, September 1, 2010, https://www.foreignaffairs.com/articles/united-states/2010-09-01/defending-new-domain.
[10] “Total Defence Strengthened with Addition of Digital Defence as the Sixth Pillar,” Ministry of Defence Singapore, February 15, 2019, https://www.mindef.gov.sg/news-and-events/latest-releases/15feb19_nr.
[11] “Singapore Spent 11 Months Evicting Suspected Telco Spies,” The Register, February 2026. https://www.theregister.com/2026/02/10/singapore_telco_espionage/.
[12] Charmian Aw and Ciara O’Leary, “Provisions in Singapore’s Cybersecurity (Amendment) Act came into force on 31 October 2025,” Hogan Lovells, December 2025, https://www.hoganlovells.com/en/publications/provisions-in-singapores-cybersecurity-amendment-act-came-into-force-on-31-october-2025; Cyber Security Agency of Singapore, “Cybersecurity Act,” https://www.csa.gov.sg/legislation/cybersecurity-act/.
[13] “National Agencies Tackle Cyber Threats at Inaugural Cyber Defence Exercise; DIS and CSA Sign Joint Operations Agreement for Cyber Cooperation,” Ministry of Defence Singapore, November 16, 2022, https://www.mindef.gov.sg/news-and-events/latest-releases/16nov22_nr/.
[14] “Revisiting UNC3886 Tactics to Defend Against Present Risk,” Trend Micro, July 2025. https://www.trendmicro.com/en_us/research/25/g/revisiting-unc3886-tactics-to-defend-against-present-risk.html.
[15]同註4。
[16] “China-Linked UNC3886 Targets Singapore Telecom Sector in Cyber Espionage Campaign,” The Hacker News, February 2026. https://thehackernews.com/2026/02/china-linked-unc3886-targets-singapore.html.
[17] “People’s Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection,” Cyber and Infrastructure Security Agency, May 2023, https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a.
[18] “Singapore Data Centers: Pocket-Sized Powerhouse Primed for Growth,” Data Center Knowledge, June 2025, https://www.datacenterknowledge.com/data-center-site-selection/singapore-data-centers-pocket-sized-powerhouse-primed-for-growth.
[19] “Singapore Data Center Market Size & Share Outlook to 2031,” Mordor Intelligence, https://www.mordorintelligence.com/industry-reports/singapore-data-center-market.
[20] “AI-Enabled Capabilities and Collaboration with Industry Elevate Defence of Critical Infrastructure at National Cyber Defence Exercise,” Ministry of Defence Singapore, November 12, 2025, https://www.mindef.gov.sg/news-and-events/latest-releases/12nov25-nr2/.
[21] “11 Critical Sectors Come Together to Tackle Complex Cyber Threat Scenarios in National Cyber Crisis Management Exercise,” Cyber Security Agency of Singapore, August 1, 2025, https://www.csa.gov.sg/news-events/press-releases/11-critical-sectors-come-together-to-tackle-complex-cyber-threat-scenarios-in-national-cyber-crisis-management-exercise/
[22] “Singapore’s Digital and Intelligence Service Participates in Multilateral Cyber Defence Exercise,” Ministry of Defence Singapore, February 11 2026. https://www.mindef.gov.sg/news-and-events/latest-releases/11feb26-nr/.
[23] 楊燁,〈軍方組建關鍵領域網絡防衛隊 戰備專才支援關鍵設施安全〉,《聯合早報》,2026年2月27日,https://www.zaobao.com.sg/news/singapore/story20260227-8647202。