نفوذ بدافزاری سه‌ساله در SK Telecom باعث افشای اطلاعات ۲۷ میلیون شماره تلفن شد.

شرکت SK Telecom اعلام کرد که یک رخداد سایبری که به‌تازگی در ماه آوریل افشا شده، در واقع نخستین‌بار در سال ۲۰۲۲ رخ داده است و در نهایت منجر به افشای داده‌های USIM مربوط به ۲۷ میلیون مشترک شده است.

شرکت SK Telecom بزرگ‌ترین اپراتور شبکه تلفن همراه در کره جنوبی به‌شمار می‌رود و حدود نیمی از بازار این کشور را در اختیار دارد.

در تاریخ ۱۹ آوریل ۲۰۲۵، این شرکت بدافزاری را در شبکه‌های خود شناسایی کرد و در پاسخ، تجهیزات مشکوک به نفوذ را از مدار خارج و ایزوله نمود.

شرکت SK Telecom اعلام کرد حمله سایبری‌ای که در آوریل ۲۰۲۵ افشا شد، در واقع نخستین‌بار در ۱۵ ژوئن ۲۰۲۲ آغاز شده و به افشای داده‌های حساس ۲۶.۹۵ میلیون مشترک منجر شده است.

این رخنه امنیتی امکان سرقت اطلاعاتی نظیر شناسه بین‌المللی مشترک موبایل (IMSI)، کلیدهای احراز هویت USIM، داده‌های مصرف شبکه و پیامک‌ها و مخاطبان ذخیره‌شده در سیم‌کارت را برای مهاجمان فراهم کرده است.

افشای این اطلاعات، خطر حملات «تعویض سیم‌کارت» (SIM swapping) را به‌طور چشمگیری افزایش داد؛ از این رو SK Telecom تصمیم گرفت نسبت به تعویض سیم‌کارت تمام مشترکان اقدام کرده و هم‌زمان تدابیر امنیتی را برای جلوگیری از انتقال غیرمجاز شماره تلفن‌ها تقویت کند.

در تاریخ ۸ مه ۲۰۲۵، کمیته دولتی بررسی این حادثه اعلام کرد که بدافزار شناسایی‌شده منجر به نقض ۲۵ نوع داده مختلف شده است. در آن زمان، SK Telecom به‌منظور مدیریت بحران، پذیرش مشترکان جدید را به‌طور موقت متوقف کرد.

براساس به‌روزرسانی‌ای که روز گذشته توسط این شرکت منتشر شد، به‌زودی به ۲۶.۹۵ میلیون مشترک اطلاع‌رسانی خواهد شد که داده‌های حساس آن‌ها در جریان این حمله بدافزاری در معرض خطر قرار گرفته است.

این شرکت مخابراتی اعلام کرد که ۲۵ نوع بدافزار متمایز را در ۲۳ سرور آلوده‌شده شناسایی کرده و در نتیجه، ابعاد این نفوذ بسیار گسترده‌تر از آن چیزی است که در ابتدا تصور می‌شد.

در همین حال، تیم مشترک تحقیقاتی متشکل از نهادهای دولتی و بخش خصوصی که مشغول بررسی ۳۰,۰۰۰ سرور لینوکسی این شرکت هستند، در گزارشی اعلام کردند که اولین نفوذ از طریق وب‌شل در تاریخ ۱۵ ژوئن ۲۰۲۲ صورت گرفته است. این بدان معناست که بدافزار به مدت تقریباً سه سال بدون شناسایی در سیستم‌های شرکت فعال بوده و در این مدت، مهاجمان چندین کد مخرب را در ۲۳ سرور مختلف تزریق کرده‌اند.

بر اساس یافته‌های این تیم تحقیقاتی، ۱۵ سرور از مجموع ۲۳ سرور آلوده حاوی اطلاعات شخصی مشتریان بوده‌اند؛ از جمله ۲۹۱,۸۳۱ شماره IMEI. با این حال، SK Telecom در آخرین بیانیه خبری خود، این ادعا را به‌طور صریح رد کرده است.

همچنین مشخص شده است که SK Telecom از تاریخ ۳ دسامبر ۲۰۲۴ اقدام به ثبت لاگ فعالیت‌های سرورهای آسیب‌دیده کرده است؛ بنابراین، هرگونه استخراج اطلاعاتی که بین ژوئن ۲۰۲۲ تا آن زمان رخ داده باشد، قابل شناسایی نبوده است.

در حال حاضر، SK Telecom همچنان از مشترکان خود با تعویض سیم‌کارت و اعمال خودکار تدابیر امنیتی برای محافظت از حساب‌ها پشتیبانی می‌کند و اعلام کرده است که تلاش‌های خرابکارانه شناسایی‌شده با موفقیت خنثی شده‌اند.

این شرکت تأکید کرده است: «از لحاظ فنی، هرگونه تغییر غیرقانونی سیم‌کارت یا دستگاه به‌طور کامل مسدود شده است. با این حال، در صورت وارد آمدن هرگونه خسارت علیرغم این اقدامات، ما مسئولیت کامل آن را برعهده خواهیم گرفت.»