Что нужно, чтобы скомпрометировать данные 27 миллионов абонентов, обрушить акции телеком-гиганта и поставить под угрозу национальную безопасность одной из самых технологически развитых стран мира? Свежий zero-day? Квантовый компьютер? Гениальная социальная инженерия?

Всего лишь веб-шелл, почти три года преступной халатности и один хитрый бэкдор.

Неизвестные злоумышленники с июня 2022 года хозяйничали в критической инфраструктуре крупнейшего корейского сотового оператора. Разберем эту громкую историю.

Чтобы оценить масштаб, нужно понимать роль SK Telecom в Южной Корее. Это флагманский беспроводной оператор в составе корпорации SK Group — фактически краеугольный камень цифровой инфраструктуры страны.

Эта компания обслуживает больше половины населения Кореи, обеспечивает сетевой инфраструктурой ряд более мелких операторов, поддерживает работу финансовых платформ и систем идентификации, которые каждый день используют миллионы людей. Можно сказать, что SK Telecom сопоставим по значимости с национальными энергетическими и банковскими компаниями.

Атака на SK Telecom развивалась поэтапно и продолжалась почти три года. Судя по результатам расследования, проникновение в корпоративную сеть произошло 15 июня 2022 года — в инфраструктуру оператора внедрили веб-шелл. Это позволило хакерам получить удаленный доступ к серверам компании и находящимся там данным.

Основной целью был Home Subscriber Server (HSS) — система для аутентификации доступа абонентов к мобильной сети, в которой хранятся 25 категорий конфиденциальных данных. В результате хакеры получили 26 миллионов IMSI-ключей — уникальных идентификаторов абонентов — 291 000 IMEI-номеров — идентификаторов устройств — 9,82 ГБ учетных данных, включая номера телефонов, данные USIM-карт, ключи аутентификации.

Ситуацию усугубило то, что до декабря 2024 года SK Telecom не вел логи на скомпрометированных серверах. Вся активность злоумышленников с июня 2022 осталась незамеченной. Все это время хакеры наслаждались ничем не ограниченным доступом к абонентским данным. Постфактум, во время аудита выяснилось, что на критически важных системах отсутствовало даже базовое антивирусное программное обеспечение.

Четыре этапа инцидента

Апрель 2022 — апрель 2024: подготовка и разведка. В это время хакеры адаптировали вредоносный код бэкдора BPFDoor под инфраструктуру SK Telecom.

Апрель 2024 — май 2025: масштабное развертывание и внедрение BPFDoor.

Май 2025: финальная фаза атаки. Хакеры используют кастомную версию BPFDoor, чтобы получить доступ к инфраструктуре оператора связи.

Апрель — июнь 2025: раскрытие и ликвидация. Всего выявлено 25 уникальных вариантов вредоносного кода и 23 зараженных сервера.

Внедрение BPFDoor

Из-за отсутствия логов, точно неизвестно, с чего именно началась атака, но в ее основе лежал специально адаптированный бэкдор BPFDoor, созданный для продолжительного и малозаметного присутствия в сетевой инфраструктуре.

По сути этот вредонос — крошечная виртуальная машина, работающая на уровне ядра Linux. Оказавшись на компьютере, он использует Berkeley Packet Filter (BPF), чтобы просматривать и фильтровать сетевые пакеты на очень низком уровне, еще до того, как они попадут в основной сетевой стек и, соответственно, до правил файрвола.

BPFDoor ищет в проходящем трафике (TCP, UDP или даже ICMP) пакеты с определенной последовательностью байт. Если находит — активирует полезную нагрузку. И тут возможны два варианта развития событий.

Установка реверсшелла

В первом случае атакующий формирует и отправляет на порт 5353 (порт службы avahi-daemon, который часто открыт и не вызывает подозрений) специальный UDP-пакет. Внутри находится специальная последовательность байт, IP-адрес и порт атакующего, пароль.

BPF-фильтр узнает последовательность и «будит» основной процесс BPFDoor. Процесс проверяет пароль, а затем инициирует обратное TCP-соединение на машину атакующего, предоставляя полный доступ к командной строке.

Режим прямого подключения

Второй режим работы хитрее. В нем бэкдор на короткое время перехватывает управление файрволом. Получив команду на прямое подключение, BPFDoor выполняет два действия с помощью iptables: создает правило, которое разрешает любые TCP-соединения с IP-адреса атакующего, и перенаправляет трафик от атакующего с SSH-порта на случайный порт. Там уже слушает BPFDoor, готовый отдать shell.

Атакующий подключается к SSH-порту жертвы, но благодаря трюку с iptables соединение попадает не в легитимный SSH-сервис, а в лапы бэкдора. Как только соединение установлено, BPFDoor удаляет созданные правила.

Кто стоит за атакой?

По данным Trend Micro, за атакой могли стоять хакеры из группировки Earth Bluecrow (Red Menshen), которая специализируется на кибершпионаже. Кроме того, аналогичный инструментарий использовался в атаках на американских операторов AT&T, Verizon и T-Mobile, связанных с группой Salt Typhoon.

Реакция клиентов

В ответ на утечку SK Telecom объявил о запуске бесплатной программы замены SIM-карт для пострадавших абонентов. Компания ввела онлайн-систему предварительной записи, чтобы избежать очередей, и в течение первых суток получила миллионы запросов на замену. А к офисам и точкам продаж все равно выстроились очереди, как на старте продаж нового iPhone.

SK Telecom оказалась не готова к такому спросу. Компания имела в наличии ограниченный запас чипов — максимум на 6 миллионов замен до конца мая 2025 года. Новые SIM-карты пришлось экстренно заказывать у зарубежных поставщиков, и партии сильно задержались в пути.

В первые дни после раскрытия инцидента стоимость акций компании снизилась на 6,7% — это стало крупнейшим однодневным падением котировок с марта 2020 года. Потеря доверия сказалась и на абонентской базе компании: более 250 тысяч абонентов расторгли контракты. SK Telecom принял решение приостановить прием новых клиентов в розничных точках — до восстановления запаса SIM-карт.

Реакция государства

Масштабы инцидента подорвали ощущение безопасности среди миллионов южнокорейцев, и вскоре Министерство науки и ИКТ Южной Кореи наложило ограничения на деятельность SK Telecom. Оператору было официально запрещено подключать новых абонентов до устранения всех угроз.

Комиссия по защите персональных данных (PIPC) потребовала срочно уведомить всех пострадавших абонентов и наложила на компанию обязательство публично отчитаться о результатах ИБ-аудита. 2,5 миллиона клиентов были уведомлены до 18 апреля, а общее количество пострадавших, включая клиентов MVNO-операторов, достигло 5,9 миллиона человек. Была инициирована проверка не только основного абонентского ядра (HSS), но и других систем: серверов голосовой маршрутизации (WCDR), систем активации SIM-карт и каналов идентификации пользователей.

Выводы, которые страшно делать

Самое шокирующее в этой истории — не изощренность атаки, а халатность в базовых вещах. Национальный телеком-гигант, цифровой хребет Южной Кореи, почти три года не вел логи на критически важных серверах ?

Кроме того, эта атака наглядно демонстрирует смену парадигмы: угрозы смещаются с уровня приложений на уровень операционной системы. Файрвол, который можно на лету обмануть парой правил iptables, перестает быть панацеей. Он становится частью театра безопасности, в то время как проблема кроется на уровень ниже. И это значит, что прямо сейчас в сетях десятков других операторов по всему миру, скорее всего, тикают похожие бомбы замедленного действия.