Разыгрываем три Flipper Zero и три Raspberry Pi 5
Image

ФЛИППЕР ИЛИ МАЛИНКА?

Подпишись на каналы и выиграй один из шести топовых девайсов для своих ИТ-проектов в новом году!

Купил усилитель – получил прослушку. Оператор в Южной Корее годами «сливал» своих владельцев

Korea Telecom Южная Корея SSH SMS мошенничество
Купил усилитель – получил прослушку. Оператор в Южной Корее годами «сливал» своих владельцев
Korea Telecom Южная Корея SSH SMS мошенничество

В Южной Корее выяснили, что домашние мини-базовые станции Korea Telecom были настроены так плохо, что их годами можно было клонировать и перехватывать SMS абонентов.

image

Министерство науки и ИКТ Южной Кореи заявило, что оператор Korea Telecom (KT) годами мог подвергать абонентов риску из-за плохо защищенных домашних мини-базовых станций. По данным ведомства, уязвимости позволили злоумышленникам клонировать устройства, читать SMS, узнавать, кому звонят пользователи, и проводить мошеннические операции через сервис микроплатежей.

Речь идет о фемтосотах, компактных базовых станциях для дома или офиса. Их ставят там, где слабый сигнал сотовой сети, а связь в таких случаях идет через проводной интернет, который служит каналом обратно в сеть оператора. У KT таких устройств было развернуто несколько тысяч, и, как выяснилось, все они использовали один и тот же сертификат для аутентификации в сети оператора.

Проблема оказалась не только в одинаковом сертификате. Корейский специалист по информационной безопасности Ёнде Ким (Yongdae Kim) указал, что у фемтосот не было root-пароля, ключи хранились в открытом виде, а удаленный доступ был фактически открыт из-за включенного SSH. Это означало, что, получив доступ к любой из таких коробочек, атакующий мог забрать сертификат и собрать клон, который сеть KT принимала бы как легитимное устройство.

Ситуацию усугублял срок действия сертификата: он был рассчитан на 10 лет. То есть у тех, кто знал о слабых местах, было достаточно времени, чтобы незаметно разворачивать поддельные фемтосоты и использовать их в своих целях. В отчете министерства говорится, что один из таких клонов работал около десяти месяцев в течение 2024 и 2025 годов.

Дальше включалась автоматизация на стороне пользователей. Телефоны абонентов, согласно отчету, могли сами подключаться к поддельной фемтосоте как к обычной точке сети. В результате злоумышленники получали возможность читать текстовые сообщения жертв и видеть, на какие номера они звонили.

Проблема всплыла после того, как KT заметила странности в счетах клиентов. У оператора есть сервис микроплатежей: абонент подтверждает оплату цифрового контента через SMS. В сентябре компания проверила выставления и обнаружила транзакции с использованием клонированных фемтосот на сумму около 169 тысяч долларов. По данным министерства, жертвами мошенничества стали 368 клиентов.

При этом сам Ёнде Ким обратил внимание на странную деталь: для такой сложной инфраструктуры добыча выглядит слишком скромной. Он предположил, что микроплатежи могли быть не главной целью, а лишь эпизодом, который выдал более серьезную активность, например массовый сбор данных и скрытое наблюдение. Косвенно эту версию поддерживает и то, что у KT есть данные по платежам только начиная с июля 2024 года, поэтому отчет министерства прямо называет свою картину неполной и не претендует на окончательный ответ, как долго продолжались злоупотребления.

Дополнительные детали раскрыла полиция. По ее данным, в деле фигурирует как минимум одна поддельная фемтосота, использовавшая ключ, установленный на устройстве, которое в 2019 году применялось на военной базе, а затем пропало в 2020-м. Следствие также обнаружило несколько клонированных устройств и признаки работы организованной группы. Сообщается о 13 задержанных, а организатор, по версии полиции, находится в розыске, на него выпущено красное уведомление Интерпола.

Следователи не исключают, что часть информации, необходимой преступникам, могла попасть к ним из-за более ранней атаки на KT: упоминается вредонос BPFDoor и утечка данных, которая, как утверждается, продолжалась три года с 2022-го. Полиция также заявляет, что участники группы занимались «вар-драйвингом», перемещаясь с нелегальной фемтосотой и выискивая новые телефоны, к которым можно подключиться. Отдельно упоминается эпизод в аэропорту Инчхон, где один из задержанных пытался использовать поддельную фемтосоту в тот же день, когда другой человек, как считает следствие, пытался вывезти взломанное оборудование в Китай.

На фоне расследования правительство потребовало от KT разрешить клиентам расторгать контракты без штрафов. История вписывается в общий тревожный фон вокруг кибербезопасности в стране. В Южной Корее в последние месяцы обсуждают крупные утечки данных у местных компаний, случаи грубого вторжения в частную жизнь через взлом камер, а также постоянные киберугрозы, связанные с Северной Кореей.