Расследование экспертов по ИБ показало, что хакеры около трёх лет (с апреля 2022 года) имели доступ к IT-системам крупнейшего южнокорейского оператора связи SK Telecom, обслуживающего примерно половину внутреннего рынка мобильных телефонов.
19 апреля компания обнаружила вредоносное ПО, работающее в её сети, которое позволило злоумышленникам украсть данные универсального модуля идентификации абонента (USIM) 26,95 млн клиентов. Эти данные включают международный идентификатор мобильного абонента (IMSI), номер мобильной станции ISDN (MSISDN), ключи аутентификации, данные об использовании сети, а также СМС или контакты, если они хранятся на СИМ-карте. Компания усилила блокировку замен USIM и ненормальных попыток аутентификации, а также немедленно приостановила обслуживание учётных записей, связанных с подозрительной активностью.
В конце апреля SK Telecom объявил о бесплатной замене СИМ-карт для всех 27 млн абонентов после недавней утечки данных USIM. В SK Telecom опубликовали FAQ об инциденте кибербезопасности, в котором говорится, что расследование точных причин и масштабов продолжается, но пока не риски «вторичного ущерба или утечек в даркнет не подтверждены».
В середине апреля 2025 года в SK Telecom обнаружили вредоносное ПО в своих сетях и отреагировали, изолировав оборудование, предположительно подвергшееся взлому. Реализованная атака позволила злоумышленникам украсть данные, включая IMSI, ключи аутентификации USIM, данные о сети, а также СМС/контактах, хранящихся на СИМ-картах.
8 мая 2025 года правительственный комитет, расследующий инцидент, заявил, что заражение вредоносным ПО скомпрометировало 25 типов данных. В SK Telecom сообщили, что 26,95 млн клиентов стали жертвами инцидента с заражением вредоносным ПО, в результате которого были раскрыты их конфиденциальные данные.
В SK Telecom выявила в общей сложности 25 различных типов вредоносного ПО на 23 взломанных серверах. Масштаб инцидента ИБ оказался гораздо более глобальным, чем предполагалось изначально.
Следственная группа проанализировала 30 тыс. серверов на базе Linux компании SK Telecom и опубликовала свой отчет, утверждая о первоначальном заражении, которое произошло 15 июня 2022 года. Вредоносное ПО оставалось незамеченным в системах компании в течение почти трёх лет, а злоумышленники успели за это время внедрить несколько полезных нагрузок на 23 сервера.
В расследовании утверждается, что 15 из 23 заражённых серверов содержали персональные данные клиентов, включая 291 831 номер IMEI, хотя SK Telecom отрицала этот факт в своих пресс-релизах.
Группа следователей также отметила, что SK Telecom начала регистрировать активность на затронутых серверах 3 декабря 2024 года. Таким образом, любая утечка данных, которая могла произойти с июня 2022 года до этого момента, не была бы обнаружена.
В SK Telecom продолжают оценивать последствия инцидента и проводят работы по локализации ущерба. В компании заявили, что признают свою ответственность в случае каких-либо вредоносных действии в отношении клиентов и гарантируют 100% компенсацию ущерба в случае выявления таких событий.
