Поделиться
Крупный сотовый оператор почти три года не замечал вирусы в своих ИТ-системах
Согласно промежуточным выводам независимого расследования киберинцидента в SK Telecom, из-за которого оператору теперь приходится бесплатно менять SIM-карты всех абонентов на новые, хакеры проникли и разместили вредоносное ПО на серверах южнокорейского телеком-гиганта без малого три года назад. Вплоть до апреля 2025 г. его присутствия никто не замечал.Вирусы в ИТ-системах SK Telecom
Южнокорейская телекоммуникационная компания SK Telecom согласилась с выводами независимых экспертов, что опасный инцидент в сфере кибербезопасности, который мог привести к утечке данных с SIM-карт 27 млн абонентов, в действительности произошел гораздо раньше, чем считалось до этого, пишет Bleeping Computer.
SK Telecom – крупнейший в Южной Корее оператор сотовой связи. На его долю приходится около половины внутреннего рынка страны – его абонентская базы насчитывает свыше 20 млн клиентов.
В апреле 2025 г. оператор обнаружил вредоносное программное обеспечение в принадлежащей ему ИТ-инфраструктуре. Специалисты компании оперативно изолировали затронутый вредоносом сегмент. Тем не менее, как выяснилось впоследствии, хакеры, стоящие за кибератакой, которая позволила внедрить вредоносное ПО в сеть оператора, вполне имели возможность похитить огромный массив данных об абонентах. Он содержал такие сведения как международный идентификатор абонента мобильной связи (IMSI), ключи аутентификация абонента из чипа USIM, информация о пользовании сетью, а также текстовые сообщения (SMS) и список контактов, сохраненные на SIM-карте.
Согласно выводам правительственной комиссии, ведущей расследование киберинцидента, всего в руки злоумышленников могли попасть данные 25 различных видов.
Потенциальная утечка в теории могла облегчить злоумышленникам дальнейшие атаки на абонентов SK Telecom методом подмены SIM-карты (SIM Swapping). К примеру, с его помощью можно получить доступ к одноразовым кодам подтверждения, которые рассылают различные сервисы, в том числе онлайн-банкинга, или содержимому переписки в мессенджерах владельца номера телефона.
Однако в SK Telecom уверяют, что «клонирование» SIM-карты является сложной задачей и даже в случае успеха «клон» с высокой вероятностью будет заблокирован системой защиты, развернутой в компании.
Массовая замена SIM-карт
Оператор решил не рисковать и в начале мая 2025 г. объявил о бесплатной замене SIM-карт для всех его абонентов. Как ранее писал CNews, с 5 мая 2025 г. SK Telecom приостановил оформление новых контрактов в 2,6 тыс. салонах T World и онлайн, сосредоточившись на помощи пострадавшим клиентам.
Кроме того, телекоммуникационная компания запустила ИТ-систему записи на замену SIM-карт и пообещала компенсировать расходы тем, кто решит сделать это самостоятельно. Это была вынужденная мера, поскольку сотовый оператор не справлялся с потоком желающих себя обезопасить.
Подробности расследования
19 мая 2025 г. SK Telecom объявил о намерении уведомить все 26,95 млн клиентов, что они оказались затронуты возможной утечкой конфиденциальной информации в результате заражения ИТ-инфраструктуры компании вредоносным ПО. Оператор также сообщил, что скомпрометированными в результате этой кибератаки оказались 23 сервера, на которых были обнаружены следы присутствия вредоносов 25 различных типов. Другими словами, реальный масштаб инцидента крупнее, нежели считалось ранее.
Тогда же на официальном сайте электронного правительства Южной Кореи были опубликованы результаты независимого расследования инцидента, из которых следует, что первые признаки заражения инфраструктуры SK Telecom появились еще 15 июня 2022 г. Таким образом, ИТ-системы оператора могли находиться под контролем злоумышленников на протяжении почти трех лет, никак себя не выдавая, при этом продолжая наращивая масштабы своего присутствия.
Согласно выводам расследователей, которые якобы провели проверку 30 тыс. Linux-серверов оператора, на 15 из 23 зараженных серверов хранились персональные данные о клиентах в незашифрованном виде, в том числе 291831 международный идентификатор мобильного оборудования (IMEI). Суммарный объем данных, которые могли быть похищены злоумышленниками, составляет 9,82 ГБ.
Независимые эксперты также выяснили, что SK Telecom начал отслеживать сетевую активность на затронутых серверах лишь 3 декабря 2024 г. Таким образом, компания не имела возможности зафиксировать утечки данных за пределы ее контура в период с июня 2022 г. и вплоть до этой даты, даже если таковая имела место.
В SK Telecom в ответ на публикацию промежуточных результатов расследования выразили сожаление относительно того, что вредоносная активность в его ИТ-системах оставалась незамеченной на протяжении без малого трех лет и пообещали принять дополнительные меры безопасности.
Исследование инфраструктуры оператора независимыми экспертами продолжается. Окончательные результаты, как ожидается, будут опубликованы в конце июня 2025 г.
Короткая ссылка
