Міністерство науки та ІКТ завершило розслідування: Злам KT спричинений недбалим управлінням фемтокомірки

Міністерство науки та інформаційних технологій (МСіТ) офіційно оприлюднило остаточні висновки свого розслідування інциденту безпеки, що стався у компанії KT Corp., у понеділок, 29 грудня 2025 року. Ретельна перевірка встановила, що першопричиною вразливості стало недостатнє наглядове управління та протоколи мобільного оператора щодо його фемтокомірної інфраструктури. Ці компактні базові станції використовуються для локального посилення мережі.

Така системна недбалість створила ідеальне середовище для експлуатації. Вона дозволила зловмисникам впровадити несанкціоновані фемтокомірки, які згодом отримали неправомірний доступ до закритої внутрішньої мережевої архітектури KT.

Наслідки цього провалу безпеки виявилися двоякими: по-перше, було уможливлено здійснення несанкціонованих мобільних платежів, а по-друге, відбулося масштабне викриття конфіденційних даних клієнтів. Фінансові втрати сягнули 243 мільйонів вон неправомірно здійснених мікроплатежів, що еквівалентно приблизно 167 000 доларів США, і торкнулися 368 підтверджених користувачів. Масштаб компрометації даних був значно ширшим, зачепивши 22 227 абонентів. Було викрадено їхні персональні ідентифікатори, включаючи номери мобільних телефонів, номери IMSI (Міжнародний ідентифікатор абонента мобільного зв'язку) та номери IMEI (Міжнародний ідентифікатор мобільного обладнання).

Судово-технічний аналіз, проведений спільною державно-приватною слідчою групою, виявив критичний недолік у механізмі автентифікації пристроїв. Зокрема, усі фемтокомірки, видані KT, мали однаковий цифровий сертифікат від виробника. Цей сертифікат мав надзвичайно довгий термін дії — до десяти років. Така конфігурація означала, що після того, як зловмисник успішно копіював цей єдиний сертифікат, несанкціонований доступ до мережі міг зберігатися майже десятиліття. Крім того, розслідування виявило значну присутність внутрішнього шкідливого програмного забезпечення. Було ідентифіковано 94 сервери KT, заражені 103 різними типами шкідливого коду, зокрема BPFDoor та Rootkit. Деякі з цих заражень датуються ще квітнем 2022 року.

Зрештою, МСіТ дійшло висновку, що KT очевидно не змогла виконати свої договірні зобов'язання щодо надання безпечних послуг, поставивши всіх абонентів під загрозу потенційного ризику. Цей інцидент вписується у ширшу картину пильної уваги до сектору, адже конкурент KT, SK Telecom, раніше вже був оштрафований на 134,8 мільярда вон за власний витік даних.

Міністерство зобов'язало KT негайно впровадити суворі заходи безпеки. Вони включають регулярну ротацію IP-адреси сервера автентифікації та створення надійних систем виявлення несанкціонованих підключень фемтокомірок. KT має надати детальний план виправлення ситуації протягом одного місяця. Наступна державна інспекція для перевірки дотримання цих вимог запланована на червень 2026 року.

З огляду на серйозність порушень безпеки, МСіТ натякнуло, що мобільні оператори загалом можуть незабаром отримати розпорядження про скасування штрафів за дострокове розірвання контрактів для користувачів, які переходять до інших провайдерів. Окремо повідомляється, що правоохоронні органи затримали двох громадян Китаю у зв'язку з фінансовим шахрайством у цій справі. У паралельному розвитку подій МСіТ повідомило про перешкоджання у своєму окремому розслідуванні щодо витоку даних у LG Uplus Corp., про яке вперше стало відомо у липні 2025 року. Міністерство стверджує, що LG Uplus вдалася до неправомірних дій, надавши сфальсифіковану документацію та перевстановивши операційні системи на уражених серверах після отримання вказівок від Корейської агенції з питань Інтернету та безпеки (KISA). Ці дії суттєво ускладнили проведення ґрунтовного криміналістичного розслідування. Хоча витік даних із інтегрованого рішення для управління паролями APPM компанії LG Uplus було підтверджено, перешкоджання призвело до того, що МСіТ офіційно звернулося до поліції з проханням розслідувати діяльність LG Uplus за підозрою у перешкоджанні службовим обов'язкам.

Ключові сервери на шляху мережі були перевстановлені або утилізовані у період з 12 серпня до 15 вересня, вже після того, як KISA надала рекомендації щодо втручання 19 липня. Міністр науки Пек Кьон Хун наголосив на серйозності ситуації, підкреслюючи, що інформаційна безпека є фундаментальною передумовою для життєздатності компаній та підтримки надійної екосистеми послуг для всієї нації. Поточні регуляторні заходи свідчать про посилення рішучості уряду Південної Кореї щодо забезпечення підзвітності у сфері безпеки критичної інфраструктури.