Одна уязвимость стала причиной масштабного взлома министерств Южной Кореи

Почему власти скрывали кибератаку почти два месяца

Южнокорейские власти лишь спустя два месяца после инцидента официально признали факт масштабного кибервзлома, затронувшего государственные учреждения. Как уточняется, злоумышленники получили доступ к внутренним системам — в частности, к платформе Onnara, обеспечивающей документооборот госслужащих, а также к цифровым сертификатам GPKI, используемым для идентификации пользователей в государственных процессах. Только после детального анализа инцидента правительство признало серьёзность происшествия и инициировало расследование для определения источника утечки и оценки последствий.

По данным Министерства внутренних дел и безопасности, признаки несанкционированного доступа были впервые обнаружены ещё в середине июля сотрудниками Национальной разведывательной службы. Вскоре выяснилось, что хакеры проникли во внутреннюю инфраструктуру через правительственную VPN-сеть G-VPN. И хотя в июле американское издание Phrack Magazine уже сообщало о возможной атаке, официальные лица тогда отказались её подтверждать. Теперь же власти заявили, что инцидент действительно затронул несколько министерств и ряд технологических компаний, включая KT, LG U+, Daum, Kakao и Naver.

По словам представителей министерства, прямых свидетельств утечки служебных документов пока не выявлено, однако вероятность этого события остаётся, и анализ продолжается. В ответ на атаку государство усилило меры безопасности:

• с 4 августа доступ к G-VPN теперь требует не только электронной подписи, но и дополнительного подтверждения по телефону;
• 28 июля была внедрена функция, запрещающая повторное использование логинов в системе Onnara на всех уровнях управления.

Что касается сертификатов GPKI, власти уточнили, что большинство из них на момент инцидента уже было недействительно. Действующие сертификаты аннулировали 13 августа. Основной причиной произошедшего названа небрежность при обращении с конфиденциальными данными, из-за которой сведения оказались за пределами ведомственных сетей. Все учреждения получили указание прекратить совместное использование сертификатов и пересмотреть протоколы их хранения.

Ранее эксперты предполагали, что за атакой может стоять северокорейская хакерская группа Kimsuky, известная своими операциями против дипломатических и оборонных структур. Однако прямых доказательств этой версии на данный момент не найдено. Несмотря на это, власти не исключают участия государственного игрока.

Для минимизации рисков правительство Южной Кореи намерено отказаться от системы GPKI и перейти на биометрическую многофакторную аутентификацию. Рассматривается вариант внедрения мобильных удостоверений личности для госслужащих, а также возможность применения аналогичных технологий в массовых государственных сервисах. Ведомства подчеркнули, что готовы оперативно реагировать на все новые данные спецслужб и принимать меры, чтобы подобные инциденты больше не повторились.