Почему информацию об инциденте держали в секрете целых два месяца?
Корейское правительство официально подтвердило факт кибератаки на ключевую инфраструктуру страны спустя два месяца после инцидента. Как сообщается, злоумышленники получили доступ к системе управления документооборотом Onnara, используемой госслужащими, а также к цифровым сертификатам GPKI, применяемым для подтверждения подлинности пользователей в рамках административных процедур. Несмотря на долгое молчание, власти признали, что речь идёт о серьёзном нарушении в цепочке безопасности, и начали расследование, чтобы установить источник утечки и оценить масштабы возможного ущерба.
Согласно заявлению Министерства внутренних дел и безопасности, следы несанкционированного доступа впервые были выявлены в середине июля сотрудниками Национальной разведывательной службы. Взлом был осуществлён через правительственную VPN-сеть — G-VPN, что дало атакующим возможность проникнуть во внутреннюю инфраструктуру. Хотя ранее чиновники не подтверждали информацию, опубликованную в июле американским изданием Phrack Magazine, сейчас власти официально признали, что атака действительно затронула сразу несколько министерств и технологические компании, включая KT, LG U+, Daum, Kakao и Naver.
Представитель министерства сообщил, что на данный момент утечка официальных документов не зафиксирована, однако эта возможность не исключена и будет проверена в ходе продолжающегося анализа. Для устранения последствий и предотвращения новых инцидентов правительство ужесточило ряд процедур. С 4 августа доступ к G-VPN требует не только цифровой подписи, но и подтверждения по телефону. Кроме того, 28 июля была реализована система блокировки повторного использования логинов в системе Onnara для всех ведомств, как на центральном, так и на местном уровне.
Что касается цифровых сертификатов GPKI, то, по заявлению министерства, большинство из них на момент инцидента уже утратили актуальность. Те, что оставались действующими, были аннулированы 13 августа. Власти также указали на первопричину атаки — халатность в обращении с данными, приведшая к утечке информации за пределы ведомств. Все учреждения получили распоряжение прекратить совместное использование сертификатов и пересмотреть процедуры их хранения.
Хотя ранее подозрение пало на северокорейскую группировку Kimsuky, специализирующуюся на кибершпионаже против структур дипломатии и обороны, прямых доказательств её причастности обнаружено не было. Тем не менее, власти не исключают возможности, что за атакой может стоять государственный игрок.
Чтобы снизить риски в будущем, правительство планирует отказаться от GPKI в пользу многофакторной биометрической аутентификации, в частности — мобильных удостоверений личности для госслужащих. Также обсуждается внедрение аналогичных технологий в широкомасштабных публичных сервисах, ориентированных на всё население. Представители ведомств пообещали оперативно реагировать на все дополнительные выводы разведывательных органов и принять меры по недопущению повторения подобных ситуаций.