Министерство науки и ИКТ Южной Кореи обнаружило, что местный оператор Korea Telecom (KT) развернул тысячи плохо защищенных фемтосот, что привело к атаке, позволившей совершать мошеннические микроплатежи и следить за коммуникациями клиентов – возможно, в течение нескольких лет.
Фемтосоты – это оборудование, устанавливаемое в помещениях клиентов, которое включает в себя небольшую мобильную базовую станцию и использует проводную широкополосную связь для подключения к сети оператора. Операторы обычно развертывают их в районах со слабым сигналом мобильной сети, чтобы улучшить покрытие в домах клиентов и вокруг них.
KT развернула тысячи таких устройств, и все они использовали один и тот же сертификат для аутентификации в сети оператора. Согласно анализу корейского ученого в области информационной безопасности и члена IEEE Ён Дэ Кима, фемтосоты не имели пароля root, хранили ключи в виде открытого текста и были доступны удаленно из-за включенного SSH.
Таким образом, злоумышленники могли легко получить сертификат, а затем использовать его для клонирования фемтосоты, которую KT рассматривала бы как легитимное устройство и охотно подключала к своей сети. А поскольку срок действия сертификата был установлен в десять лет, у злоумышленников, понимающих эти уязвимости, был длительный период для клонирования фемтосоты и использования ее во зло. В отчете Министерства говорится, что злоумышленники использовали одну поддельную фемтосоту в течение десяти месяцев в 2024 и 2025 годах.
В отчете также установлено, что устройства клиентов KT автоматически подключались к клонированной фемтосоте, и что злоумышленники могли читать текстовые сообщения этих клиентов и узнавать, на какие номера они звонили.
Микро-улики
Korea Telecom управляет сервисом микроплатежей, который позволяет ее клиентам оплачивать цифровой контент с помощью SMS-сообщений. В сентябре оператор проверил счета некоторых своих клиентов и обнаружил использование клонированных фемтосот в транзакциях на сумму 169 000 долларов США.
В отчете Министерства говорится, что жертвами мошенничества с микроплатежами стали 368 клиентов.
Ён Дэ Ким написал, что выручка в размере 169 000 долларов США “непомерно мала для такой сложной инфраструктуры”.
“Рациональный вывод: основной целью был крупномасштабный сбор данных. Чья-то жадность разоблачила это. Без мошенничества с микроплатежами это было бы необнаружимо”, – добавил он, предположив, что злоумышленники, управляющие клонированными фемтосотами, могли использовать свою возможность доступа к телефонам клиентов для слежки.
Эта теория кажется правдоподобной по двум причинам. Во-первых, у KT есть данные только о платежах, начиная с июля 2024 года. Поэтому в отчете Министерства говорится, что это не является окончательным отчетом о проблемах, связанных с фемтосотами.
Во-вторых, корейская полиция сегодня опубликовала результаты своего расследования по этому вопросу, в ходе которого была обнаружена одна поддельная фемтосота, использовавшая ключ, установленный на устройстве, использовавшемся на корейской военной базе в 2019 году и пропавшем в 2020 году.
Полицейское расследование выявило несколько клонированных фемтосот, а также доказательства существования крупной банды, управляющей ими. Полиция арестовала 13 предполагаемых участников и не исключает, что банда получила часть информации, необходимой для проведения своих операций, в результате предыдущей атаки на Korea Telecom, в ходе которой вредоносное ПО BPFDoor в течение трех лет, начиная с 2022 года, сливало информацию от оператора. Расследование также утверждает, что преступники занимались “war-driving”, управляя нелегальной фемтосотой, чтобы найти больше телефонов, к которым они могли получить доступ. Один из арестованных пытался использовать поддельную фемтосоту в аэропорту Инчхон, в тот же день кто-то другой пытался экспортировать взломанное оборудование в Китай.
Предполагаемый вдохновитель банды остается на свободе, но является объектом “красного уведомления” Интерпола.
Правительство Южной Кореи отреагировало на это, настояв на том, чтобы KT позволила клиентам расторгать свои контракты без штрафных санкций.
В настоящее время Южная Корея является “горячей точкой” в плане плохой безопасности. Местный онлайн-магазин Coupang и SK Telecom испытывают проблемы из-за утечки миллионов записей о клиентах. Страна также пережила масштабную операцию по взлому камер, которая грубо нарушила частную жизнь некоторых граждан, и сталкивается с постоянными атаками и провокациями со стороны Северной Кореи. ®
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/10
Автор – Simon Sharwood
