Кибератаки в Южной Корее: взломы, пожары и последствия

Цепочка событий вокруг этой истории выглядит крайне подозрительно.

10 июня 2025: Хакерская группа публикует d легендарном хакерском журнале Phrack детальное исследование «APT Down - The North Korea Files». Они утверждают, что взломали рабочую станцию члена северокорейской APT-группы Kimsuky и получили дампы его данных.

В дампах — доказательства глубокого проникновения в южнокорейские правительственные сети. Хакеры обнаружили доступ к внутренней системе onnara9.saas.gcloud.go.kr — правительственному порталу, недоступному из публичного интернета. А ещё тысячи украденных сертификатов GPKI (Government Public Key Infrastructure), которые используются чиновниками для подписи документов.

Кроме того, в дампах нашли данные о взломе LG Uplus, одного из крупнейших южнокорейских мобильных операторов, включая учётные данные для доступа к внутренним серверам.

24 сентября 2025: Парламент Южной Кореи проводит слушания по массовым взломам телекоммуникационных компаний. На ковёр вызывают руководство KT, SK Telecom и LG Uplus — всех трёх гигантов, упомянутых в исследовании Phrack.

26 сентября, вечер: Пожар в NIRS. Батареи, которые взорвались, были произведены LG Energy Solution в 2012-2013 годах — они превысили рекомендованный производителем 10-летний срок службы на год.

LG Energy Solution — дочерняя компания того же холдинга LG, которому принадлежит LG Uplus.

2 октября, утро: Снова в Тэджоне и меньше чем через неделю после первого пожара загорается дата-центр Lotte IDC. И снова проблема с батареями UPS. Огонь потушили быстро, но сам факт второго пожара за неделю в одном городе — это уже закономерность.

3 октября: Самоубийство специалиста по восстановлению данных. Предсмертной записки не найдено.

Среди уничтоженных систем — Onnara System, правительственная интрасеть для внутренних коммуникаций и управления документами. Та самая система, к которой, согласно Phrack, северокорейские хакеры имели доступ месяцами.

G-Drive, GPKI, Onnara — все эти системы упоминаются в исследовании Phrack как скомпрометированные. И все они были в NIRS, где 26 сентября случился пожар.

Версии

Официальная: устаревшие батареи, человеческая ошибка при перемещении — рабочие могли не отключить питание перед отсоединением кабелей, что вызвало скачок напряжения.

Но есть вопросы:

Саботаж хакеров от КНДР — версия, возможно, и конспирологическая, но тайминг у всего реально подозрительный. Да и мотива есть как минимум два:

1. Зачистка: возможно, атаки приходились на те системы, где могли остаться доказательства взлома, ранее раскрытого другими хакерами. Уничтожение улик могло лишить власти Южной Кореи формального повода ответки против КНДР;

2. Дестабилизация: нанести ущерб, потратиться на восстановление, подорвать доверие граждан к властям, получить разведданные — всё звучит как валидные цели для Kimsuki.

Контекст

2025 год стал катастрофическим для кибербезопасности Южной Кореи: крупные инциденты случаются практически каждый месяц. SK Telecom (23 миллиона пользователей), KT, Lotte Card, финансовые компании.

Эксперты винят фрагментацию системы управления кибербезом: министерства и агентства работают разрозненно, реагируют медленно, подход реактивный.

Президент Ли Чжэ Мён назвал инцидент «цифровым Перл-Харбором» и пообещал провести полную проверку всей цифровой инфраструктуры страны.

Бонус для киноманов

Хакерская группировка выходит в офлайн и взрывает дата-центры корпорации, где хранятся записи государственной важности о финансовых долгах граждан. Её цель — обнулить и дестабилизировать существующую систему. Атака беспрецедентная, все бэкапы уничтожены, в стране начинается хаос.

Но расслабьтесь: это всего лишь синопсис первого сезона сериала «Мистер Робот», а не пересказ событий в Южной Корее.

Подписывайтесь на Telegram Радиорубка Лихачёва.