25 loại mã độc đã được phát hiện trong vụ tấn công mạng SK Telecom

Trong đó, 23 máy chủ của tập đoàn viễn thông lớn nhất Hàn Quốc SK Telecom bị xâm nhập, tất cả đều lưu trữ 4 loại dữ liệu USIM then chốt, bao gồm cả thông tin IMSI (mã nhận dạng thuê bao di động quốc tế). Lượng thông tin bị rò rỉ có dung lượng 9,82 GB, tương ứng với 26.957.749 trường hợp theo mã nhận dạng thuê bao di động quốc tế (IMSI).

Ngoài 4 loại mã độc từng được công bố trong đợt điều tra đầu tiên vào ngày 29/4, nhóm điều tra trong đợt hai đã phát hiện thêm 21 loại mới, trong đó có một loại mã độc dạng Web Shell, và các loại còn lại đều thuộc dòng mã độc dạng cửa hậu (backdoor) BPFDoor. Qua phân tích chi tiết 15 trong số 23 máy chủ bị nhiễm mã độc, nhóm điều tra xác định có hai máy chủ liên kết với hệ thống xác thực khách hàng tích hợp đã bị rò rỉ nhiều thông tin cá nhân, gồm mã nhận diện thiết bị di động quốc tế (IMEI), họ tên, ngày tháng năm sinh, số điện thoại và địa chỉ email.

Cụ thể, có 291.831 mã IMEI bị phát hiện nằm trong các tập tin tạm thời của máy chủ liên kết. Sau hai đợt điều tra chi tiết, nhóm điều tra cho biết không phát hiện thêm dấu hiệu rò rỉ thông tin nào trong khoảng thời gian từ ngày 3/12 năm ngoái đến ngày 24/4 năm nay, khoảng thời gian mà hệ thống còn lưu lại nhật ký của tường lửa. Tuy nhiên, nhóm điều tra không thể xác định có xảy ra rò rỉ thông tin kể từ khi mã độc đầu tiên được cài đặt vào máy chủ từ ngày 15/6/2022 đến ngày 2/12/2024 hay không, do máy chủ không còn lưu lại nhật ký.

Nhóm điều tra hiện đang tiếp tục phân tích 8 máy chủ nhiễm mã độc còn lại, và xác định tình trạng lây nhiễm mã độc trên toàn bộ máy chủ của SKT, bao gồm cả hệ điều hành Linux và Windows. Nhóm điều tra cũng yêu cầu SKT xác minh khả năng rò rỉ thông tin cá nhân và đưa ra các phương án phòng ngừa thiệt hại cho người dùng.

Theo hãng tin Yonhap của Hàn Quốc, ngày 19/5, một nhóm điều tra liên ngành giữa chính phủ và khu vực tư nhân của nước này cho biết máy chủ của tập đoàn viễn thông lớn nhất Hàn Quốc SK Telecom, vốn chứa thông tin cá nhân và dữ liệu USIM (SIM điện thoại mạng 3G) của tất cả người dùng, đã bị xâm nhập trong một cuộc tấn công mạng. Điều này làm dấy lên lo ngại về khả năng rò rỉ dữ liệu USIM quan trọng được sử dụng trong các giao dịch tài chính.

Hiện SK Telecom có 25 triệu thuê bao, bao gồm khoảng 2 triệu người dùng gói cước giá rẻ. Trong số các máy chủ bị ảnh hưởng, có 2 máy chủ từng được sử dụng làm kho lưu trữ tạm thời cho dữ liệu cá nhân như tên, ngày sinh, số điện thoại và địa chỉ email. Hiện các nhà điều tra vẫn đang xác minh quy mô dữ liệu cá nhân lưu trữ trên hai máy chủ này. SK Telecom đã phát hiện vụ tấn công vào ngày 18/4. Để khắc phục, công ty đã đề nghị thay thế USIM miễn phí cho toàn bộ 25 triệu thuê bao, trong đó có 2 triệu người dùng gói cước giá rẻ, nhằm ngăn chặn hành vi trộm danh tính hoặc gian lận tài chính.

Ngoài ra, tập đoàn này cũng đã tự động đăng ký dịch vụ bảo vệ USIM cho tất cả người dùng nhằm ngăn chặn các hoạt động tài chính trái phép.