![Weekendowa Lektura: odcinek 622 [2025-05-03]. Bierzcie i czytajcie](https://zaufanatrzeciastrona.pl/wp-content/uploads/2024/02/library.jpg)
![HESS zarejestrował kosmiczny elektron o niespotykanej energii [Phys. Rev. Lett.]](https://www.kwantowo.pl/wp-content/uploads/2024/11/mikro-teleskop-hess.jpg)
![Dorastanie na Marsie [niepublikowany nigdzie indziej fragment książki]](https://naukatolubie.pl/app/uploads/2025/03/Niespokojnepokolenie_blog.png)
To chyba najpoważniejszy atak na operatora w historii - 23 mln kart SIM do wymiany
W nocy z 19 na 20 kwietnia 2025 r. koreański operator SK Telecom wykrył złośliwy kod działający na jednym z urządzeń sieciowych. Analiza wykazała, że mogło dojść do wycieku technicznych danych z kart USIM – przede wszystkim numerów IMSI oraz kluczy uwierzytelniających. Do 9 maja nie stwierdzono, by informacje te pojawiły się w darknecie lub zostały wykorzystane do przestępstw, a spółka nie zarejestrowała dotąd wtórnych szkód po stronie abonentów. Zaraz po zauważeniu nieprawidłowości SKT natychmiast odizolował zainfekowany sprzęt, rozpoczął pełne skanowanie infrastruktury i podniósł do najwyższego poziomu czułość systemu Fraud Detection System, który blokuje nietypowe próby klonowania kart. 20 kwietnia incydent został formalnie zgłoszony do Koreańskiej Agencji Internetu i Bezpieczeństwa (KISA), a następnie do urzędu ochrony danych osobowych PIPC, z którymi operator współpracuje w ramach wspólnego zespołu śledczego. Rządowa komisja oraz eksperci sektora prywatnego prowadzą obecnie dochodzenie, którego wyniki mają zostać upublicznione do końca czerwca. Ministerstwo Nauki i ICT zapowiedziało, że od rezultatów śledztwa zależeć będą ewentualne sankcje finansowe wobec spółki, a także decyzja, czy SKT będzie musiał zwolnić klientów z opłat za wcześniejsze rozwiązanie umów. Już 250 tys. użytkowników przeniosło numery do konkurencji, a według prognoz liczba ta może sięgnąć 2,5 mln. Kluczowym elementem obrony stała się bezpłatna usługa „USIM Protection”, która blokuje działanie karty w nieautoryzowanym urządzeniu. Równolegle SK Telecom od 28 kwietnia prowadzi ogólnokrajową, darmową wymianę kart SIM i eSIM. Usługę realizują wszystkie punkty T World oraz centra roamingowe na lotniskach, a wcześniej poniesione koszty zwracane są klientom. Te same przywileje otrzymali użytkownicy operatorów MVNO działających w sieci SKT. Ze względu na skalę – do wymiany jest nawet 23 mln kart – spółka mierzy się z przejściowymi niedoborami USIM-ów i zamówiła dodatkowe partie, prosząc klientów o wcześniejszą rejestrację wizyt online. Aby nie pozostawiać przestrzeni spekulacjom, firma publikuje codzienne raporty z liczbą wymienionych kart i aktualnym poziomem aktywacji USIM Protection. W kolejnych tygodniach utrzymany zostanie najwyższy poziom monitoringu FDS, a nadzór nad siecią zostanie rozszerzony na dodatkowe klastry serwerów, w których specjaliści wykryli kolejne próbki złośliwego oprogramowania. SKT deklaruje, że dopiero zakończenie rządowego audytu przesądzi o pełnym zakresie modernizacji infrastruktury, lecz już teraz wprowadza poprawki konfiguracyjne – m.in. wymianę urządzeń VPN marki Ivanti, które według ekspertów mogły zostać wykorzystane przez atakujących. Mimo że wyciek ograniczył się do parametrów technicznych kart SIM i nie objął bezpośrednio danych osobowych, całe zdarzenie stało się największym testem zaufania do SK Telecom od lat. Ostateczna ocena skutków – zarówno dla bezpieczeństwa użytkowników, jak i kondycji finansowej operatora – zależeć będzie od wyników dochodzenia, skali rezygnacji klientów i powodzenia szeroko zakrojonych programów ochronnych, które firma zamierza rozwijać jeszcze długo po formalnym zamknięciu śledztwa. Specyficzne ukierunkowanie ataku na dane IMSI, z pominięciem łatwiej monetyzowalnych danych osobowych, może sugerować działanie bardziej zaawansowanego atakującego, zainteresowanego dostępem do sieci, możliwościami nadzoru lub przeprowadzania ataków typu SIM-swapping, a nie prostą kradzieżą tożsamości. Fakt, że wyciekły numery IMSI, ale nie IMEI, jest istotnym szczegółem technicznym. Sugeruje to, że atakujący mogli obrać za cel konkretny system lub bazę danych przechowującą informacje IMSI, ale niekoniecznie systemy łączące IMSI z IMEI lub pełne profile klientów. Może to wskazywać na lukę w konkretnym komponencie (np. Home Location Register (HLR) lub podobnej bazie danych przechowującej profile abonentów), a nie na pełne przełamanie wszystkich systemów związanych z klientami. SK Telecom poinformowało również o pracach nad metodą, roboczo nazwaną „formatowaniem USIM”, która umożliwi zmianę oprogramowania karty SIM bez konieczności jej fizycznej wymiany, zapewniając ten sam poziom bezpieczeństwa.
W nocy z 19 na 20 kwietnia 2025 r. koreański operator SK Telecom wykrył złośliwy kod działający na jednym z urządzeń sieciowych. Analiza wykazała, że mogło dojść do wycieku technicznych danych z kart USIM – przede wszystkim numerów IMSI oraz kluczy uwierzytelniających. Do 9 maja nie stwierdzono, by informacje te pojawiły się w darknecie lub zostały wykorzystane do przestępstw, a spółka nie zarejestrowała dotąd wtórnych szkód po stronie abonentów.
Zaraz po zauważeniu nieprawidłowości SKT natychmiast odizolował zainfekowany sprzęt, rozpoczął pełne skanowanie infrastruktury i podniósł do najwyższego poziomu czułość systemu Fraud Detection System, który blokuje nietypowe próby klonowania kart. 20 kwietnia incydent został formalnie zgłoszony do Koreańskiej Agencji Internetu i Bezpieczeństwa (KISA), a następnie do urzędu ochrony danych osobowych PIPC, z którymi operator współpracuje w ramach wspólnego zespołu śledczego.
Rządowa komisja oraz eksperci sektora prywatnego prowadzą obecnie dochodzenie, którego wyniki mają zostać upublicznione do końca czerwca. Ministerstwo Nauki i ICT zapowiedziało, że od rezultatów śledztwa zależeć będą ewentualne sankcje finansowe wobec spółki, a także decyzja, czy SKT będzie musiał zwolnić klientów z opłat za wcześniejsze rozwiązanie umów. Już 250 tys. użytkowników przeniosło numery do konkurencji, a według prognoz liczba ta może sięgnąć 2,5 mln.
Kluczowym elementem obrony stała się bezpłatna usługa „USIM Protection”, która blokuje działanie karty w nieautoryzowanym urządzeniu.
Równolegle SK Telecom od 28 kwietnia prowadzi ogólnokrajową, darmową wymianę kart SIM i eSIM. Usługę realizują wszystkie punkty T World oraz centra roamingowe na lotniskach, a wcześniej poniesione koszty zwracane są klientom. Te same przywileje otrzymali użytkownicy operatorów MVNO działających w sieci SKT. Ze względu na skalę – do wymiany jest nawet 23 mln kart – spółka mierzy się z przejściowymi niedoborami USIM-ów i zamówiła dodatkowe partie, prosząc klientów o wcześniejszą rejestrację wizyt online.
Aby nie pozostawiać przestrzeni spekulacjom, firma publikuje codzienne raporty z liczbą wymienionych kart i aktualnym poziomem aktywacji USIM Protection.
W kolejnych tygodniach utrzymany zostanie najwyższy poziom monitoringu FDS, a nadzór nad siecią zostanie rozszerzony na dodatkowe klastry serwerów, w których specjaliści wykryli kolejne próbki złośliwego oprogramowania. SKT deklaruje, że dopiero zakończenie rządowego audytu przesądzi o pełnym zakresie modernizacji infrastruktury, lecz już teraz wprowadza poprawki konfiguracyjne – m.in. wymianę urządzeń VPN marki Ivanti, które według ekspertów mogły zostać wykorzystane przez atakujących.
Mimo że wyciek ograniczył się do parametrów technicznych kart SIM i nie objął bezpośrednio danych osobowych, całe zdarzenie stało się największym testem zaufania do SK Telecom od lat. Ostateczna ocena skutków – zarówno dla bezpieczeństwa użytkowników, jak i kondycji finansowej operatora – zależeć będzie od wyników dochodzenia, skali rezygnacji klientów i powodzenia szeroko zakrojonych programów ochronnych, które firma zamierza rozwijać jeszcze długo po formalnym zamknięciu śledztwa.
Specyficzne ukierunkowanie ataku na dane IMSI, z pominięciem łatwiej monetyzowalnych danych osobowych, może sugerować działanie bardziej zaawansowanego atakującego, zainteresowanego dostępem do sieci, możliwościami nadzoru lub przeprowadzania ataków typu SIM-swapping, a nie prostą kradzieżą tożsamości. Fakt, że wyciekły numery IMSI, ale nie IMEI, jest istotnym szczegółem technicznym. Sugeruje to, że atakujący mogli obrać za cel konkretny system lub bazę danych przechowującą informacje IMSI, ale niekoniecznie systemy łączące IMSI z IMEI lub pełne profile klientów. Może to wskazywać na lukę w konkretnym komponencie (np. Home Location Register (HLR) lub podobnej bazie danych przechowującej profile abonentów), a nie na pełne przełamanie wszystkich systemów związanych z klientami.
SK Telecom poinformowało również o pracach nad metodą, roboczo nazwaną „formatowaniem USIM”, która umożliwi zmianę oprogramowania karty SIM bez konieczności jej fizycznej wymiany, zapewniając ten sam poziom bezpieczeństwa.
