Pelindung siber tangani ancaman siber terbesar S’pura

Apabila sistem telah dicemari perisian hasad (malware) yang sukar dikesan pengimbas antivirus biasa, tugas pelindung siber menjadi sangat rumit.

Inilah antara cabaran utama dihadapi Penolong Pengarah Pusat Tindak Balas Insiden Siber Nasional Agensi Keselamatan Siber Singapura (CSA), Encik Benedict Chong, ketika berdepan dengan kumpulan pengintipan siber UNC3886.

Kumpulan ini dikesan memperoleh akses tanpa kebenaran ke beberapa bahagian syarikat telekomunikasi pada 2025.

Ancaman itu dikesan dalam beberapa penyedia perkhidmatan telekomunikasi utama, termasuk Singtel, StarHub, M1 dan SIMBA Telecom, yang sekali gus mencetuskan tindak balas keselamatan siber berskala nasional.

Lebih 100 pelindung siber daripada enam agensi pemerintah telah dikerahkan dalam operasi menangani ancaman siber terbesar Singapura setakat ini.

Dinamakan operasi Cyber Guardian, operasi tersebut menyaksikan kerjasama rapat antara Agensi Keselamatan Siber Singapura (CSA), Penguasa Pembangunan Infokom Media (IMDA), Pusat Teknologi Infokom Strategik (CSIT), Perkhidmatan Digital dan Perisikan (DIS), Agensi Teknologi Pemerintah Singapura (GovTech) serta Jabatan Keselamatan Dalam Negeri (ISD).

Menurut kenyataan bersama CSA dengan IMDA pada 9 Februari, UNC3886 merupakan kumpulan berkemahiran tinggi yang menjalankan pengintipan jangka panjang.

Seperti kumpulan ancaman lanjutan berterusan (APT) lain, ia bukan sahaja sukar dikesan, malah berupaya menyusup kembali rangkaian sistem yang sama walaupun telah dihapuskan.

Pada 18 Julai 2025, Menteri Penyelaras bagi Keselamatan Negara merangkap Menteri Ehwal Dalam Negeri, Encik K. Shanmugam, menyifatkan UNC3886 sebagai “ancaman serius” yang berpotensi menjejas keselamatan negara Singapura.

Bagi Encik Benedict, dengan peranannya yang merangkumi tanggungjawab menyelaras siasatan serta memberikan kemas kini kepada pihak berkepentingan merentasi agensi, keutamaan awal beliau ialah menilai tahap pencerobohan dan mengekang ancaman tersebut.

“Keutamaan awal saya adalah untuk menilai skop insiden, termasuk tahap kemahiran pelaku ancaman itu dan kesan yang beliau mampu lakukan. Sejurus itu, kami segera beralih kepada usaha mengekang ancaman tersebut bagi memastikan pelaku tidak dapat meneruskan tindakan atau bergerak ke bahagian lain dalam rangkaian itu,” katanya.

Begitulah rutin beliau sejak dikerahkan ke pasukan tersebut sejak operasi itu dimulakan pada Mac 2025.

Mengulas lanjut, Encik Benedict berkata operasi tersebut berbeza daripada insiden keselamatan siber lain, memandangkan pelaku ancaman bertindak secara lebih terselindung dan berpanjangan.

“Insiden sebegini tidak seperti serangan siber lain. Pelaku ancaman lazimnya bertindak lebih senyap dan cuba mengelak pengesanan, malah berkemungkinan berada dalam sistem untuk tempoh yang lebih lama,” jelasnya.

Bagi mempercepat usaha itu, pelindung siber menjalankan kejuruteraan songsang (reverse-engineer) terhadap perisian hasad tersebut dan berjaya mengenal pasti kaedah untuk mengesannya dengan lebih pantas dan tepat.

Proses ini jauh lebih singkat berbanding kaedah konvensional yang melibatkan pengklonan bukti kepada sebuah cakera keras sebelum ia dibawa ke makmal forensik CSA untuk analisis lanjut, yang lazimnya mengambil masa sekitar satu hingga dua jam bagi setiap satu terabait data.

Hasilnya, para pelindung siber berjaya melaksanakan langkah-langkah pemulihan dan menutup semua titik akses yang digunakan oleh UNC3886.

“Setakat ini, tiada bukti bahawa data sensitif atau peribadi seperti rekod pelanggan telah diakses atau dikeluarkan.

“Tiada juga bukti bahawa pelaku ancaman berjaya mengganggu perkhidmatan telekomunikasi seperti ketersediaan internet,” tambah kenyataan itu.

Encik Benedict berkata ancaman berlarutan itu memerlukan tumpuan berpanjangan yang menyebabkan pengorbanan waktu peribadi.

“Disebabkan skala insiden ini, kami terpaksa bekerja lebih lama, dan beberapa projek sedia ada terpaksa diketepikan atau ditangguhkan sementara kami memberi tumpuan penuh kepada usaha mengesan dan mengekang ancaman,” katanya.

Beliau menambah bahawa hujung minggunya turut dikorbankan sepanjang tempoh siasatan, sekali gus memberi kesan kepada kehidupan sosial serta tahap keletihan mental pasukannya.

Perkara ini turut dikongsikan Ketua Pasukan Kumpulan Perlindungan Siber daripada DIS, ME5 Eugene Tay.

Bagi ME5 Tay yang ditugaskan untuk mengesan dan menjejak ancaman siber dalam rangkaian yang terjejas, beliau berkata siasatan tersebut melibatkan penelitian berterusan sepanjang operasi yang berlangsung sekitar 11 bulan sejak Mac 2025.

“Ia merupakan proses yang intensif dari segi masa dan memerlukan fokus berpanjangan, memandangkan jumlah data yang perlu dianalisis amat besar,” jelasnya.

Perunding Keselamatan Siber Utama CSA, Encik Law Che Lin, berkata kejayaan itu dipacu oleh kerjasama antara agensi yang telah lama terjalin.

Beliau menambah bahawa kerjasama antara agensi bukan sesuatu yang baru, malah telah lama diamalkan dalam operasi lain.

“Kami sebenarnya pernah bekerjasama sebelum ini dan sudah mempunyai hubungan kerja sedia ada,” katanya.

Menurut Encik Law, hubungan tersebut memudahkan penyelarasan apabila insiden berlaku.

“Apabila insiden ini berlaku, kami dapat diaktifkan dan berkoordinasi dengan cepat kerana sudah ada tahap kefahaman dan kepercayaan antara satu sama lain,” jelasnya.