中國黑客團(tuán)在新加坡竊取多國機(jī)密？！曝住千萬豪宅、持假證入境

新加坡，這個以安全和中立聞名世界的“小紅點”，向來是全球各路人士的聚集地。談合作的大佬、購物的游客、追夢的留學(xué)生、拼搏的打工人…

然而，陽光下總有陰影。新加坡不知不覺竟成了某些犯罪分子的避風(fēng)港和中轉(zhuǎn)站。

遠(yuǎn)有轟動一時的“福建幫”，在新加坡洗錢50億；近有柬埔寨太子集團(tuán)，試圖借新加坡家族辦公室洗白。

而最近，又一則消息浮出水面：

一名神秘金主租下優(yōu)質(zhì)洋房，專門“包養(yǎng)”了三名中國籍黑客，以新加坡為基地攻擊境外網(wǎng)站……

朋友牽線高薪工作、吃住全包

中國3男子持假證入境新加坡

讓我們將時間線拉回到3年前，疫情籠罩下，一大波公司倒閉、失業(yè)潮席卷全球，無數(shù)人感到前路迷茫。

在中國從事IT和網(wǎng)頁設(shè)計的技術(shù)人才黃牛黃牛（化名）、劉馬（化名）和嚴(yán)工（化名），就是這股浪潮中的一員。

就在這時，經(jīng)朋友牽線，一位38歲的瓦努阿圖男子許梟出現(xiàn)了。

他看中了三人的技術(shù)實力——嚴(yán)工自己開過網(wǎng)站制作公司，劉馬更是自學(xué)成才的高手。

于是，許梟熱情發(fā)出邀請：“來新加坡為我工作吧，吃住全包，還有豐厚薪資！”

面對海外工作的機(jī)會和優(yōu)厚承諾，三人心動了，很快就答應(yīng)下來。

不久后，許梟通過幾家毫不相關(guān)的新加坡公司，為他們申請了工作準(zhǔn)證——嚴(yán)工成了“銷售員”，黃牛和劉馬當(dāng)起了“建筑工人”。

這幾張看似正規(guī)的準(zhǔn)證，其實全是許梟用虛假材料為他們申請的。而三人對此一無所知，還十分開心地登上了前往新加坡的飛機(jī)……

住$3.3萬月租洋房、專人伺候

中國3人組被糖衣炮彈砸暈

2022年9月，黃牛、劉馬和嚴(yán)工三人初到新加坡，就被許梟的手下帶去“雇主公司”參觀，了解自己未來要從事的工作。

可誰知道，這根本就是一場精心排練的戲——三人之后的日子，完全就開啟了躺平模式：住在許梟安排好的房子里，每天吃睡玩，啥正事也不用干。

那份工作，純粹是為了應(yīng)付檢查的幌子。

AI制圖

轉(zhuǎn)眼到了2023年，春節(jié)過后，三人再次回到新加坡。

這一次，3人的待遇再次升級——許梟指示他的小弟陳人在西乃山一帶，租下月租高達(dá)3.3萬新元的優(yōu)質(zhì)洋房，專門安置這三位“技術(shù)骨干”。

不僅如此，陳人還特意請了外籍工人負(fù)責(zé)做飯打掃，日常開銷全包。

而且從2024年開始，三人每月還能領(lǐng)到2000新元“工資”，只為維持他們虛假的工作身份。

優(yōu)質(zhì)洋房 示意圖

這一套“包吃、包住、包打掃、還發(fā)錢”的組合拳下來，三人被照顧得服服帖帖，感動得不行：

這要不努力干活，簡直說不過去啊！

中國3人組豪宅里分工作案

竊取短信、電力公司海量用戶信息

許梟最初給黃牛、劉馬、嚴(yán)工3人安排的任務(wù)，是入侵其他博彩網(wǎng)站，竊取用戶數(shù)據(jù)，好給自己的網(wǎng)站精準(zhǔn)拉客。

但這只是小試牛刀。很快，許梟就謀劃了一票更大的——入侵一家中國的短信服務(wù)公司。

這家公司據(jù)傳為兩家大型賭博網(wǎng)站提供支持，一旦成功，就能劫持其系統(tǒng)，海量用戶資料手到擒來。

于是，一場分工明確的網(wǎng)絡(luò)入侵就此展開：黃牛主攻Web系統(tǒng)，劉馬負(fù)責(zé)Windows系統(tǒng)，嚴(yán)工則專注Linux系統(tǒng)。

三人聯(lián)手，先搜集所有相關(guān)域名，再用工具掃描網(wǎng)站漏洞，并根據(jù)漏洞的危害程度和可利用性，精心分類、評估，最終選出最佳攻擊路徑。

一切就緒后，他們就利用這些漏洞非法侵入系統(tǒng)，要么直接竊取數(shù)據(jù)，要么遠(yuǎn)程植入木馬。

目標(biāo)非常明確：客戶的姓名、郵箱、電話、IP地址及網(wǎng)站登錄憑證等所有信息。

調(diào)查資料證實，他們曾成功竊取菲律賓一家電力公司的客戶數(shù)據(jù)，以及上述中國短信公司的核心短信發(fā)送量數(shù)據(jù)。

此時的許梟團(tuán)伙，已從一個賭博網(wǎng)站推廣者，蛻變成了一個危險的跨國數(shù)據(jù)竊賊。

暗網(wǎng)買黑客工具、請教外援

3人組狂攬獎金$392萬

為了完成許梟布置的任務(wù)，黃牛、劉馬、嚴(yán)工三人也在業(yè)務(wù)上不斷精進(jìn)。

他們不僅從暗網(wǎng)下載最新的黑客工具，還積極混跡黑客圈子，四處打探目標(biāo)網(wǎng)站的漏洞。

其中，一位定居新加坡的中國籍黑客孫某，就成了他們經(jīng)常請教的“外援”。

2024年9月5日，許梟大手筆地給他們轉(zhuǎn)了價值300萬美元（約合392萬新元、2136萬人民幣）的泰達(dá)幣。

三人喜出望外，當(dāng)即瓜分了大部分贓款，還沒忘了給孫某也分了一份。

壞人慶祝、分錢 《孤注一擲》

他們還專門聘請了一位匿名開發(fā)者，花錢雇傭其量身定制了一套用于協(xié)調(diào)網(wǎng)絡(luò)攻擊的中央管理軟件。

當(dāng)然，三人很清楚自己干的是違法勾當(dāng)。為此他們定下了一條“安全紅線”：絕不招惹新加坡本地和政府網(wǎng)站，以免引火燒身。

至于外國的政府和企業(yè)？那就不在他們的“保護(hù)名單”里了。

AI制圖

中國3人組被新加坡警方一鍋端

起獲$2200萬贓款、黑客軟件無數(shù)…

天網(wǎng)恢恢，疏而不漏！這支躲在優(yōu)質(zhì)洋房里的“黑客戰(zhàn)隊”，終究沒能逃過新加坡警方的天羅地網(wǎng)。

AI制圖

2024年9月，警方雷霆出擊，突擊了西乃山這間月租3.3萬新元的洋房，將黃牛、劉馬、嚴(yán)工三人一舉抓獲。

在他們的電腦里，警方發(fā)現(xiàn)：不僅有木馬的源代碼，Metasploit、Spark等開源黑客工具，更找到了載有PlugX惡意軟件的服務(wù)器IP與登錄憑證。

圖源：新加坡警察部隊

調(diào)查還顯示，這三人手中掌握著數(shù)百種不同的遠(yuǎn)程訪問木馬，并配備了多個專門用于發(fā)動攻擊的虛擬機(jī)，其犯罪規(guī)模與專業(yè)程度令人咋舌。

在本案中，警方還起獲超過2200萬新元的現(xiàn)金、存款、車輛與加密貨幣，更對4處總值逾3000萬新元的房產(chǎn)發(fā)出禁止處置令。

這個一度風(fēng)光無限的“黑客洋房”，最終成為了他們的犯罪鐵證。

3人組被判坐牢至少28個月

幕后主腦卻早已逃之夭夭…

檢方指出，警方在設(shè)備中發(fā)現(xiàn)了外國政府資料，這起以新加坡為基地的網(wǎng)絡(luò)犯罪案件，已損害新加坡作為安全國家的國際聲譽。

為此，中國3人組各自被控五項罪名，包括抵觸濫用電腦法令、有組織罪案法令和貪污、販毒和嚴(yán)重罪案（沒收利益）法令的控狀。

他們也都承認(rèn)為維持虛假工作身份，曾向人力部謊報就業(yè)情況。

新加坡人力部

11月5日，法院作出判決：在承認(rèn)其中四項罪名后，嚴(yán)工與黃牛均被判處坐牢28個月零1周，劉馬則被判處坐牢28個月零4周。

后勤陳人與黑客孫某的案件則押后至明年1月下判。

然而，整起案件的幕后主腦——瓦努阿圖籍的許梟，早在2023年8月就已悄然離境，至今逍遙法外，為這起跨國網(wǎng)絡(luò)罪案留下了未解的謎團(tuán)。

中國3人組設(shè)備藏PlugX惡意軟件

與攻擊新加坡設(shè)施的UNC3886工具同源

這起案件中一個尤為敏感的發(fā)現(xiàn)是，這三人使用或試圖使用的PlugX惡意軟件，竟與一個代號“UNC3886”的黑客組織攻擊新加坡關(guān)鍵基礎(chǔ)設(shè)施時所用的工具完全相同。

此前，谷歌威脅情報團(tuán)隊曾指認(rèn)該組織與中國有關(guān)，一度引發(fā)中方強(qiáng)烈抗議，使得PlugX的背景格外引人注目。

【詳情請點擊：新加坡關(guān)鍵基礎(chǔ)設(shè)施遭黑客頻繁攻擊，被指中國所為？！中方：強(qiáng)烈不滿！】

而在這三名黑客的設(shè)備中，PlugX的痕跡無處不在：劉馬的電腦里藏有14個與PlugX相關(guān)的木馬；嚴(yán)工的設(shè)備中存有可連接至PlugX服務(wù)器的IP地址與憑證；黃牛則持有能生成PlugX攻擊載荷的工具。

此外，警方還在電腦中發(fā)現(xiàn)了他們討論澳大利亞、阿根廷與越南政府網(wǎng)站漏洞的記錄，甚至查到了一封哈薩克斯坦外交部的機(jī)密郵件。

雖然警方在他們的設(shè)備上發(fā)現(xiàn)了PlugX軟件，但三人卻一致否認(rèn)知曉或與任何此類組織有關(guān)聯(lián)。

真相究竟如何，無疑為本案留下了一個巨大的懸念。

揭秘新加坡黑客案核心兇器PlugX

潛伏滲透、加密通信、專竊敏感信息

最后，我們來科普一下本案中出現(xiàn)的“大殺器”——PlugX木馬。

這是一種高度復(fù)雜的遠(yuǎn)程控制木馬，常被一些“高級持續(xù)性威脅（APT）”組織使用。

所謂APT，可以理解為一支訓(xùn)練有素、目標(biāo)明確的網(wǎng)絡(luò)特種部隊，他們不發(fā)起快攻，而是長期潛伏，專門竊取敏感信息或奪取系統(tǒng)控制權(quán)。

那么PlugX是如何作案的呢？

它通常通過釣魚郵件或系統(tǒng)漏洞悄悄潛入電腦。一旦得手，它就能長期潛伏，隨時聽候黑客的遠(yuǎn)程指令，竊取資料、提升權(quán)限，甚至在整個內(nèi)部網(wǎng)絡(luò)里自我擴(kuò)散。

更可怕的是，PlugX采用了模塊化設(shè)計，黑客可以按需加載不同功能模塊——比如竊取密碼、記錄鍵盤、偷偷截屏等等。

而且它極其善于偽裝，能深藏在系統(tǒng)核心深處，與遠(yuǎn)程服務(wù)器的通信也經(jīng)過加密偽裝，讓安全軟件難以察覺，危害性極強(qiáng)。

這場持續(xù)三年的跨國黑客大案，終于隨著三名技術(shù)骨干入獄、超5000萬新元資產(chǎn)被凍結(jié)而暫告落幕。

盡管主謀許梟仍在逃，但此案已向所有人發(fā)出明確信號：新加坡的安全，是守法者的護(hù)盾，而非犯罪者的天堂！

萬事通最后得強(qiáng)調(diào)下，本案所涉行為純屬個人違法犯罪，不應(yīng)與國家形象掛鉤。正如過去個別企業(yè)的不實言論曾引發(fā)中方嚴(yán)正抗議一樣，任何將個人行為與國家立場混淆的說法，都是不負(fù)責(zé)任的。

今年是新中國與新加坡建交35周年，我們堅信，兩國友誼必將歷久彌新、長存發(fā)展。

通心粉們，你對此有什么看法呢？歡迎大家留言分享。