KT入侵事故官民联合调查团中期结果
被感染服务器未上报被搁置…通过取证才查明
微蜂窝认证存漏洞…担忧小额支付受害扩大
“KT,考虑在SIM卡更换供应大乱时暂停营业”
据悉,KT早在过去发现有43台服务器感染恶意代码,却未向政府报告。
由科学技术信息通信部组建的“KT侵害事故官民联合调查团”6日公布了包含上述内容的中期调查结果。
此前,KT在今年9月分析小额支付受害者的通话记录时,发现有未在本公司登记的非法设备接入内部网络,遂向韩国互联网振兴院(KISA)报告了侵害事故。
调查团自9月9日起,对以下三起事件进行了调查并分析事故原因:▲因非法微型基站(Femto Cell)导致的小额支付和个人信息泄露事故 ▲疑似由国家背景组织导致的KT认证书泄露情况(Frack报告) ▲KT通过外部公司进行安全检查过程中发现的服务器侵害事故。
结果显示,KT存在试图隐瞒恶意代码侵害事故的迹象。KT在去年3月至7月期间发现了包括BPF Door、Web Shell等在内的恶意代码感染服务器共43台,但未向政府报告,而是自行处理。按《信息通信网法》规定,此类行为应处以不超过3000万韩元的罚款。KT事后才向调查团报告称,在部分感染服务器上存有姓名、电话号码、电子邮箱地址、终端识别号(IMEI)等信息。
调查团表示,通过对服务器进行取证分析,发现曾运行相关杀毒软件的痕迹,由此确认遭到黑客入侵。不过,与SK电信黑客事件不同,目前尚未查明存储用户核心信息的HSS服务器是否被攻破、个人信息泄露规模多大、攻击者是否与当时SK电信事件为同一主体等情况。
调查团团长Choi Woo-hyuk表示:“由于BPF Door已被全部清除,因此在SK电信黑客事件后主管部门开展的全面排查中并未显现出来。KT自行披露的服务器受害规模为43台,我们还需通过取证进一步调查黑客入侵的范围和规模等。”
他补充称:“目前尚未确认非法复制手机所需的USIM密钥外泄情况。我们将仔细调查此次新发现的事故与既有事故之间是否存在关联,并在年底前给出结论。”
同时,他就KT的隐瞒嫌疑表示:“对此持严肃态度,将查明事实关系,并向有关机构请求采取相应措施。”
调查团还表示,鉴于KT在美国安全专业媒体Frack发出服务器可能被黑客入侵的警告后,便将相关服务器予以报废,已就其涉嫌构成刑法上的“以欺骗手段妨害公务执行”之嫌向警方请求立案调查。
KT在今年8月曾向KISA答复称已报废相关服务器,但调查显示,KT实际上是在同月1日(2台)、6日(4台)、13日(2台)等多日分批报废。对于报废服务器的备份日志,KT直到次月18日才上报。
调查还发现,KT存在延迟报告侵害事故的情况。KT在9月1日接到警方转交的未经授权小额支付发生情况后,虽已阻断异常通信模式,却直到8日确认非法微型基站ID后才进行报告。按《信息通信网法》规定,此类行为同样应处以不超过3000万韩元的罚款。
调查团指出,KT的微型基站管理体系整体上十分薄弱。所有向KT供货的微型基站均使用同一认证书,只要复制该认证书,非法微型基站也能接入KT网络。认证书有效期被设定为10年,只要某一微型基站曾经接入过KT网络,今后便可持续接入,这一结构本身存在问题。
此外,微型基站制造商在没有任何安全管理体系的情况下,将小区ID、认证书、KT服务器IP等重要信息提供给微型基站的外包生产企业;在微型基站向KT网络发起接入认证时,也未对其他公司或海外IP等异常IP进行拦截。
小额支付受害规模预计还将扩大。调查团计划在对目前已掌握的368名受害者、共计2.4319亿韩元的损失之外,再对受害者分析方式进行验证,并确认是否存在遗漏受害者后,公布最终受害规模。
![100万亿恐打水漂…“三星罢工成史上级利好” 价格暴涨20%市况大乱 [台湾芯片通信]](https://cwcontent.asiae.co.kr/asiaresize/93/2026051416263163580_1778743590.jpg)
科学技术信息通信部表示,如在更换KT用户USIM卡过程中,出现与SK电信当时类似的供需混乱等情况,将考虑采取暂停营业等措施。对于小额支付受害直接发生地区的用户,将通过行政指导,确保其充分知悉更换事实。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
