ИТ-Министерство завершило расследование инцидента в KT: утечка произошла из-за ненадлежащего управления фемтосотами

Министерство науки и ИКТ (MSIT) официально огласило окончательные результаты своего расследования инцидента безопасности, затронувшего компанию KT Corp., в понедельник, 29 декабря 2025 года. Масштабная проверка выявила, что первопричина уязвимости крылась в недостаточном контроле и слабых протоколах управления сотовой связью со стороны мобильного оператора в отношении его фемтосотовой инфраструктуры. Фемтосоты, напомним, представляют собой маломощные базовые станции, развернутые для локального усиления сетевого покрытия.

Эта системная недоработка создала идеальную среду для эксплуатации. Злоумышленники смогли внедрить несанкционированные фемтосоты, которые затем получили неправомерный доступ к закрытой внутренней сетевой архитектуре KT. По сути, халатность оператора открыла «черный ход» в его защищенную систему.

Последствия этого провала безопасности проявились в двух ключевых аспектах: проведении несанкционированных мобильных платежей и масштабной компрометации конфиденциальных данных абонентов. Финансовый ущерб выразился в проведении несанкционированных микротранзакций на общую сумму 243 миллиона вон, что эквивалентно примерно 167 000 долларов США. От этой финансовой потери пострадали 368 верифицированных пользователей.

Масштаб утечки данных оказался куда более значительным. Были скомпрометированы данные 22 227 абонентов. Среди похищенной личной информации фигурировали идентификаторы пользователей, включая номера мобильных телефонов, а также критически важные сетевые идентификаторы: номера IMSI (International Mobile Subscriber Identity) и IMEI (International Mobile Equipment Identity).

Судебно-медицинский анализ, проведенный совместной правительственно-частной группой, выявил фатальный изъян в механизме аутентификации устройств. Оказалось, что все фемтосоты, выпущенные KT, использовали единый цифровой сертификат, предоставленный производителем. При этом срок действия этого сертификата был неоправданно продлен — вплоть до десяти лет. Это означало, что как только злоумышленник копировал этот единственный ключ, он мог сохранять несанкционированный доступ к сети почти целое десятилетие.

Кроме того, расследование обнаружило серьезное внутреннее заражение вредоносным ПО. Было зафиксировано, что 94 сервера KT были инфицированы 103 различными типами вредоносного кода, включая такие угрозы, как BPFDoor и руткиты. При этом некоторые из этих заражений датировались еще апрелем 2022 года, что свидетельствует о длительном периоде скрытой активности.

В конечном итоге MSIT пришло к выводу, что KT не смогла выполнить свои договорные обязательства по предоставлению безопасных услуг, тем самым подвергнув всех своих абонентов потенциальной угрозе. Этот инцидент вписывается в общую картину пристального внимания регуляторов к сектору: ранее конкурент KT, SK Telecom, уже был оштрафован на 134,8 миллиарда вон за собственную утечку данных.

Министерство обязало KT немедленно внедрить строгие меры по усилению безопасности. Среди них — регулярная ротация IP-адресов серверов аутентификации и создание надежных систем для обнаружения несанкционированных подключений фемтосот. KT должна представить полный план исправления ситуации в течение одного месяца. Запланирована последующая правительственная инспекция на июнь 2026 года для подтверждения выполнения всех предписаний.

Учитывая вопиющую серьезность нарушений безопасности, MSIT намекнуло, что операторам мобильной связи в целом могут быть в скором времени предписаны меры по отмене штрафов за досрочное расторжение контрактов для пользователей, желающих перейти к конкурентам. Параллельно правоохранительные органы сообщили о задержании двух граждан Китая, подозреваемых в причастности к мошеннической части дела.

В сопутствующем развитии событий MSIT сообщило о препятствиях в своем отдельном расследовании инцидента в LG Uplus Corp., о котором стало известно в июле 2025 года. Министерство заявило, что LG Uplus проявила недобросовестность, предоставив ложные документы и даже переустановив операционные системы на затронутых серверах после получения рекомендаций от Корейского агентства по интернету и безопасности (KISA). Эти действия серьезно затруднили проведение всестороннего криминалистического анализа. Хотя утечка данных из интегрированного решения для управления паролями APPM компании LG Uplus была подтверждена, факт воспрепятствования расследованию побудил MSIT официально инициировать полицейское расследование в отношении LG Uplus по подозрению в препятствовании официальным действиям.

Ключевые серверы на пути сетевого трафика были переустановлены или утилизированы в период с 12 августа по 15 сентября, уже после того, как KISA провело первичное вмешательство 19 июля. Министр науки Пэ Гён Хун подчеркнул всю серьезность положения, акцентировав внимание на том, что информационная безопасность является безусловным фундаментом для жизнеспособности любого предприятия и поддержания доверия к национальной сервисной экосистеме. Текущие регуляторные меры ясно сигнализируют о повышенной решимости правительства Южной Кореи добиваться ответственности в вопросах безопасности критически важной инфраструктуры.