СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#ИБ

ORB и UNC3886: APT‑атаки на телекоммуникации Сингапура через zero‑day

Отчет специалистов по кибербезопасности описывает растущую угрозу, связанную с использованием сетей Operational Relay Box (ORB) злоумышленниками в Сингапуре. Эти запутанные сетевые структуры, состоящие из скомпрометированных IoT-устройств, домашних (SOHO) маршрутизаторов и VPS, позволяют скрывать источники атак, смешивая злонамеренный трафик с легитимными потоками данных. В результате усилия по обнаружению и блокировке таких операций становятся значительно сложнее — при фильтрации ORB пострадать могут и законные пользователи и сервисы.

Что такое ORB и как они работают

ORB — это распределенные сети ретрансляции, в которых используются компрометированные устройства разных типов для перенаправления трафика и сокрытия маршрута его происхождения. В отчете выделяются ключевые характеристики ORB:

  • состав: IoT-устройства, SOHO-маршрутизаторы, VPS;
  • метод маскировки: смешение злонамеренного трафика с реальным пользовательским трафиком;
  • тактическая цель: усложнить обнаружение источников и создать риск для блокировки легитимных ресурсов.

Целенаправленная атака на телекоммуникационный сектор Сингапура

В отчете подробно разбирается атаку на крупные телеком-операторы Сингапура, осуществлённую группой APT, обозначенной как UNC3886. Агентство по кибербезопасности Сингапура сообщило, что UNC3886 использовала zero-day эксплойт для нарушения периметральных межсетевых экранов у операторов, включая:

  • M1;
  • SIMBA Telecom;
  • Singtel;
  • StarHub.

Компрометация позволила злоумышленникам получить доступ к чувствительной сетевой информации, используемой для разведки и наблюдения за инфраструктурой.

Тактики ухода и инструменты UNC3886

UNC3886 применяет продвинутые методы поддержания доступа и сокрытия своего присутствия в сетях жертв. В отчете отмечены следующие элементы их тактик:

  • использование руткитов и других инструментов для уклонения от обнаружения;
  • эксплуатация уязвимостей zero-day в устройствах на краю сети и в системах виртуализации;
  • развертывание кастомного malware для укрепления и пролонгации доступа.

Техническая связь с GOBRAT и история эксплойтов

Ранее UNC3886 была замечена в эксплуатации уязвимостей в оборудовании таких вендоров, как Fortinet и Juniper, с последующим развёртыванием собственных вредоносных модулей. Примечательно, что в ходе кампаний 2025 года IP-адреса, связанные с активностью UNC3886, были подтверждены как используемые в сети GOBRAT ORB, что напрямую связывает операционные методы группы с использованием ORB в качестве ретрансляционных инфраструктур.

Статистика развертываний и взаимодействие с провайдерами

Аналитический раздел отчета предоставляет статистический обзор развертываний ORB в Сингапуре. Зафиксировано множество уникальных IP‑соединений между компонентами ORB и сетями телекоммуникационных провайдеров, что подтверждает широкое распространение таких ретрансляционных структур и их влияние на критическую инфраструктуру.

Регуляторная уязвимость

Отчет также указывает на регуляторные слабые места. Хотя в Сингапуре существуют стандарты для безопасных маршрутизаторов, значительная часть устаревшего оборудования продолжает эксплуатироваться и не соответствует современным протоколам безопасности. Это создает благоприятную среду для формирования ORB и повышения эффективности атак.

Выводы

Использование ORB злоумышленниками, в частности группой UNC3886, демонстрирует эволюцию методов кибершпионажа: комбинирование уязвимости периферийных устройств, эксплуатация zero-day и применение ретрансляционных сетей превращает обнаружение и блокировку в сложную операцию с высоким риском побочных последствий для легитимных пользователей. Синергия этих методов и существующие регуляторные пробелы в Сингапуре делают телекоммуникационный сектор особенно уязвимым.

Коротко: ORB служат эффективным инструментом для маскировки атак, UNC3886 использует продвинутые эксплойты и руткиты для компрометации крупных операторов, а связь с сетью GOBRAT ORB подтверждает прямое пересечение тактик группы с инфраструктурными ретрансляциями.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: