MSIT Rondt Onderzoek KT-Inbreuk Af: Onvoldoende Beheer Femtocellen Hoofdzaak

Het Ministerie van Wetenschap en ICT (MSIT) heeft op maandag 29 december 2025 de definitieve resultaten van het onderzoek naar het beveiligingsincident bij KT Corp. officieel bekendgemaakt. De grondige analyse wees uit dat de fundamentele kwetsbaarheid voortkwam uit de onvoldoende controle en het gebrekkige beheer van de mobiele provider met betrekking tot haar femtocel-infrastructuur. Deze kleine basisstations worden ingezet voor lokale netwerkverbetering. Door deze structurele nalatigheid ontstond een omgeving die misbruik toeliet, waardoor kwaadwillenden ongeautoriseerde femtocellen konden introduceren die vervolgens ongeoorloofde toegang kregen tot de interne netwerkarchitectuur van KT.

Deze beveiligingsfout had twee voorname gevolgen: de mogelijkheid tot frauduleuze mobiele betalingstransacties en de grootschalige blootstelling van gevoelige klantgegevens. De financiële schade omvatte niet-toegestane micropayments ten bedrage van 243 miljoen won, wat neerkomt op ongeveer 167.000 USD, waarbij 368 gebruikers direct getroffen werden. De omvang van de datalek was echter veel groter; 22.227 gebruikers zagen hun persoonlijke identificatiegegevens buitgemaakt worden. Hieronder vielen mobiele nummers, International Mobile Subscriber Identity (IMSI)-nummers en International Mobile Equipment Identity (IMEI)-nummers.

De forensische analyse, uitgevoerd door het gezamenlijke overheids- en private onderzoeksteam, legde een cruciale tekortkoming bloot in het authenticatiemechanisme van de apparaten. Het bleek dat alle door KT uitgegeven femtocellen hetzelfde digitale certificaat deelden, afgegeven door de fabrikant, met een opmerkelijk lange geldigheidsduur van maximaal tien jaar. Deze configuratie hield in dat zodra een aanvaller dit ene certificaat succesvol had gekopieerd, de ongeautoriseerde netwerktoegang bijna een decennium kon worden gehandhaafd. Bovendien ontdekte het onderzoek een aanzienlijke aanwezigheid van interne malware. Er werden 94 KT-servers geïnfecteerd gevonden met 103 verschillende soorten kwaadaardige code, waaronder BPFDoor en Rootkit, waarbij sommige infecties terugdateerden tot april 2022.

Het MSIT kwam tot de conclusie dat KT aantoonbaar in gebreke was gebleven om haar contractuele verplichting tot het leveren van veilige diensten na te komen, waardoor alle abonnees aan potentiële bedreigingen werden blootgesteld. Dit incident past in een patroon van sectorale controle; KT's concurrent, SK Telecom, kreeg eerder al een boete van 134,8 miljard won voor een eigen datalek. Het Ministerie heeft KT verplicht om onmiddellijk strenge beveiligingsverbeteringen door te voeren. Dit omvat de regelmatige rotatie van het IP-adres van de authenticatieserver en de implementatie van robuuste detectiesystemen voor onbevoegde femtocelverbindingen. KT moet binnen een maand een volledig herstelplan indienen, met een vervolginspectie door de overheid gepland voor juni 2026 om de naleving te controleren.

Gezien de ernst van de beveiligingsfouten, liet het MSIT doorschemeren dat mobiele providers in het algemeen binnenkort instructies kunnen ontvangen om annuleringskosten kwijt te schelden voor gebruikers die overstappen naar concurrenten. Los daarvan hebben wetshandhavingsinstanties naar verluidt twee Chinese staatsburgers gearresteerd in verband met het financiële fraudedeel van de zaak. In een parallelle ontwikkeling rapporteerde het MSIT een belemmerend resultaat in het afzonderlijke onderzoek naar een datalek bij LG Uplus Corp., dat oorspronkelijk in juli 2025 aan het licht kwam. Het ministerie stelde dat LG Uplus zich schuldig maakte aan onbehoorlijk gedrag door vervalste documentatie in te dienen en besturingssystemen op getroffen servers opnieuw te installeren nadat zij advies hadden ontvangen van het Korea Internet & Security Agency (KISA). Deze acties hebben een grondig forensisch onderzoek ernstig belemmerd.

Sleutelservers langs het netwerkpad werden opnieuw geïnstalleerd of verwijderd tussen 12 augustus en 15 september, volgend op de KISA-intrusiebegeleiding van 19 juli. Minister van Wetenschap Bae Kyung-hoon benadrukte de ernst van de situatie, stellend dat informatiebeveiliging een fundamentele voorwaarde is voor het voortbestaan van bedrijven en het behoud van een betrouwbaar dienstenechoysteem voor de natie. De lopende regelgevende maatregelen duiden op een verhoogde inzet van de Zuid-Koreaanse overheid om verantwoordingsplicht af te dwingen op het gebied van kritieke infrastructuurbeveiliging.