Blog, Tin Tức

Vụ Tấn Công Mạng SK Telecom 26,9 Triệu IMSI Bị Rò Rỉ

Posted on by WAF CSP

Ngày 19/05/2025, Hàn Quốc chấn động trước thông tin SK Telecom (SKT), tập đoàn viễn thông lớn nhất nước này, bị tin tặc tấn công, làm rò rỉ 9,82 GB dữ liệu USIM, tương đương 26,957,749 mã nhận dạng thuê bao di động quốc tế (IMSI). Vụ việc không chỉ gây lo ngại về an ninh mạng tại Hàn Quốc mà còn làm dấy lên hồi chuông cảnh báo toàn cầu, khi các cuộc tấn công mạng tương tự cũng xảy ra tại MTN Nam Phi và hệ thống bán lẻ ở Anh. Là một chuyên gia an ninh mạng với hơn 15 năm kinh nghiệm, tôi sẽ phân tích chi tiết vụ tấn công, tác động, và cung cấp các biện pháp bảo vệ thông tin cá nhân trong bối cảnh an ninh mạng 2025 ngày càng phức tạp.

Vụ tấn công mạng SK Telecom: Quy mô và nguyên nhân

Theo báo cáo từ nhóm điều tra liên ngành giữa chính phủ Hàn Quốc và khu vực tư nhân, vụ tấn công vào SK Telecom được phát hiện vào ngày 18/04/2025, nhưng thực chất đã bắt đầu từ 15/06/2022. Nhóm điều tra đã kiểm tra 30.000 máy chủ Linux của SKT qua 4 đợt và phát hiện 25 loại mã độc trên 23 máy chủ, bao gồm:

  • Web Shell: Một loại mã độc cho phép tin tặc truy cập từ xa vào máy chủ.

  • BPFDoor backdoor: 24/25 mã độc thuộc dòng cửa hậu này, nổi tiếng với khả năng vượt qua xác thực và duy trì truy cập lâu dài. BPFDoor thường được liên kết với các nhóm tin tặc Trung Quốc như Red Menshen.

Vụ tấn công mạng SK Telecom
Vụ tấn công mạng SK Telecom

Các máy chủ bị xâm nhập đều lưu trữ 4 loại dữ liệu USIM then chốt, bao gồm IMSI, khóa xác thực USIM, dữ liệu sử dụng mạng, và SMS/danh bạ nếu được lưu trên SIM. Đặc biệt, 2 máy chủ liên kết với hệ thống xác thực khách hàng đã làm rò rỉ thêm thông tin cá nhân như:

  • 291.831 mã IMEI (mã nhận diện thiết bị di động quốc tế).

  • Họ tên, ngày tháng năm sinh, số điện thoại, và địa chỉ email.

Tổng cộng, 26,9 triệu IMSI bị rò rỉ, vượt quá số lượng 25 triệu thuê bao của SKT (bao gồm 2 triệu người dùng gói cước giá rẻ). Con số này bao gồm cả các mục thử nghiệm nội bộ, theo giải thích từ nhóm điều tra.

Thời gian và lỗ hổng nhật ký

Nhóm điều tra không tìm thấy dấu hiệu rò rỉ dữ liệu từ 03/12/2024 đến 24/04/2025, khoảng thời gian có nhật ký tường lửa. Tuy nhiên, do SKT chỉ bắt đầu lưu nhật ký từ 31/12/2024, họ không thể xác định liệu dữ liệu có bị rò rỉ từ 15/06/2022 đến 02/12/2024 hay không. Điều này làm tăng lo ngại rằng tin tặc đã duy trì truy cập trong gần 3 năm mà không bị phát hiện.

Hiện tại, nhóm điều tra đang phân tích 8 máy chủ nhiễm mã độc còn lại và mở rộng kiểm tra sang các máy chủ Windows của SKT. Họ cũng yêu cầu SKT xác minh khả năng rò rỉ thêm thông tin cá nhân và triển khai biện pháp giảm thiểu thiệt hại.

Tác động của vụ rò rỉ dữ liệu USIM

Vụ tấn công vào SK Telecom là một trong những sự cố an ninh mạng nghiêm trọng nhất trong lịch sử Hàn Quốc, ảnh hưởng đến gần như toàn bộ thuê bao của hãng. Dữ liệu USIM bị rò rỉ, đặc biệt là IMSI, tạo ra nhiều rủi ro nghiêm trọng:

  • SIM swapping: Tin tặc có thể sử dụng IMSI để chuyển số điện thoại sang SIM khác, chiếm quyền truy cập vào các dịch vụ tài chính hoặc mạng xã hội.

  • Theo dõi vị trí: IMSI cho phép định vị thiết bị trên mạng di động, đe dọa quyền riêng tư.

  • Đánh cắp danh tính: Kết hợp IMSI, IMEI, và thông tin cá nhân (họ tên, email), tin tặc có thể thực hiện các vụ lừa đảo tinh vi.

  • Tấn công chuỗi cung ứng: SKT là nhà cung cấp hạ tầng cho nhiều nhà mạng nhỏ, khiến rủi ro lan rộng ra hệ sinh thái viễn thông Hàn Quốc.

Chủ tịch SK Group, Chey Tae-won, đã gọi vụ việc là “vấn đề quốc phòng” và công khai xin lỗi vào đầu tháng 5/2025. Hơn 70.000 thuê bao đã chuyển sang nhà mạng đối thủ như KT và LG Uplus chỉ trong 2 ngày sau khi SKT công bố chương trình thay thế USIM miễn phí. Một vụ kiện tập thể với 50.000 thành viên cũng đang được tổ chức, yêu cầu bồi thường thiệt hại.

Tình hình quốc tế: MTN Nam Phi và hệ thống bán lẻ Anh

Vụ tấn công vào SK Telecom không phải là trường hợp cá biệt. Cùng thời điểm, MTN Nam Phi, một trong những tập đoàn viễn thông lớn nhất châu Phi, cũng bị tấn công mạng, làm rò rỉ dữ liệu khách hàng. Dù quy mô và chi tiết chưa được công bố, vụ việc làm dấy lên lo ngại về an ninh mạng trong ngành viễn thông toàn cầu.

Tại Anh, các hệ thống bán lẻ đã bị tê liệt do một làn sóng tấn công mạng nhắm vào cơ sở hạ tầng thương mại. Các cuộc tấn công này, dù không liên quan trực tiếp đến SKT hay MTN, cho thấy xu hướng gia tăng các vụ xâm nhập mạng tinh vi trong năm 2025, đặc biệt vào các ngành quan trọng như viễn thông và bán lẻ.

Hành động của SK Telecom và chính phủ Hàn Quốc

SK Telecom đã nhanh chóng triển khai các biện pháp khắc phục:

  • Thay thế USIM miễn phí: Cung cấp USIM mới cho 25 triệu thuê bao, bao gồm 2 triệu người dùng gói cước giá rẻ, để giảm nguy cơ SIM swapping. Tuy nhiên, chỉ 6 triệu USIM có sẵn đến cuối tháng 5/2025, gây ra tình trạng thiếu hụt và xếp hàng dài tại các cửa hàng.

  • Dịch vụ bảo vệ USIM: Tất cả thuê bao được tự động đăng ký dịch vụ này, ngăn chặn hoạt động SIM trái phép. SKT cũng nâng cấp dịch vụ để hỗ trợ roaming quốc tế.

  • Nâng cấp hệ thống an ninh: Triển khai FDS 2.0, một hệ thống phát hiện gian lận với xác thực ba yếu tố, chặn các nỗ lực SIM cloning.

  • Hỗ trợ khách hàng: Từ 19/05/2025, SKT cung cấp dịch vụ thăm trực tiếp tại các khu vực xa xôi để tư vấn và thay SIM tại chỗ.

Chính phủ Hàn Quốc cũng vào cuộc mạnh mẽ:

  • Bộ Khoa học và Công nghệ Thông tin (MSIT) thành lập đội phản ứng khẩn cấp và yêu cầu SKT cung cấp tài liệu liên quan đến vụ tấn công.

  • Các cuộc đàm phán với Mỹ, dẫn đầu bởi Bộ trưởng Yoo Sang-im, tập trung vào việc hài hòa tiêu chuẩn chứng nhận an ninh mạng, đặc biệt cho IoT và viễn thông.

  • Ủy ban Bảo vệ Thông tin Cá nhân (PIPC) điều tra xem SKT có tuân thủ quy định an ninh mạng hay không, với mức phạt tiềm năng lên đến 50 triệu won (35.200 USD) nếu vi phạm.

BPFDoor và mối liên hệ với các nhóm tin tặc

Mã độc BPFDoor, chiếm phần lớn trong vụ tấn công, là một backdoor tinh vi, thường được sử dụng bởi các nhóm tin tặc liên kết với Trung Quốc, như Red Menshen hoặc Volt Typhoon. BPFDoor khai thác lỗ hổng trong Berkeley Packet Filter của hệ điều hành Linux, cho phép vượt qua xác thực và duy trì truy cập mà không bị phát hiện.

Dù chưa có nhóm nào nhận trách nhiệm, một số bài đăng trên X cho rằng vụ tấn công có thể bắt nguồn từ Bắc Triều Tiên qua các IP Trung Quốc, hoặc do các nhóm tin tặc Trung Quốc thực hiện. Tuy nhiên, thông tin này chưa được xác minh và chỉ mang tính suy đoán.

Biện pháp bảo vệ thông tin cá nhân

Vụ tấn công vào SK Telecom là lời cảnh báo cho cả người dùng cá nhân và doanh nghiệp về tầm quan trọng của an ninh mạng. Dưới đây là 7 biện pháp bạn có thể thực hiện ngay:

  1. Đăng ký dịch vụ bảo vệ USIM: Nếu là thuê bao SKT, hãy kiểm tra tin nhắn từ SKT để xác nhận bạn đã được đăng ký tự động. Dịch vụ này ngăn chặn SIM swapping.

  2. Thay USIM: Liên hệ SKT để thay USIM miễn phí, đặc biệt nếu bạn nhận được thông báo từ hãng. eSIM cũng là lựa chọn tiện lợi.

  3. Cập nhật mật khẩu: Đặt mật khẩu mạnh cho tài khoản ngân hàng, email, và mạng xã hội. Sử dụng trình quản lý mật khẩu như LastPass để tăng bảo mật.

  4. Bật xác thực hai yếu tố (2FA): Sử dụng 2FA dựa trên ứng dụng (như Google Authenticator) thay vì SMS, vì SMS có thể bị chặn nếu SIM bị clone.

  5. Giám sát tài khoản: Theo dõi tài khoản ngân hàng và dịch vụ trực tuyến để phát hiện hoạt động đáng ngờ. Đặt cảnh báo giao dịch.

  6. Cẩn thận với phishing: Tránh nhấp vào liên kết trong email hoặc SMS không rõ nguồn gốc, Ví dụ, một khách hàng SKT đã mất 50 triệu won do tin nhắn giả mạo, dù không liên quan trực tiếp đến vụ rò rỉ USIM.

  7. Cập nhật thiết bị: Đảm bảo điện thoại và ứng dụng luôn chạy phiên bản mới nhất để vá lỗi bảo mật.

Doanh nghiệp cần:

  • Kiểm tra định kỳ hệ thống Linux/Windows để phát hiện mã độc backdoor.

  • Sử dụng tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS).

  • Đào tạo nhân viên nhận biết email lừa đảo và các chiến thuật tấn công mạng.

Bài học từ SK Telecom và xu hướng an ninh mạng 2025

Vụ tấn công vào SK Telecom cho thấy các ngành viễn thông đang trở thành mục tiêu hàng đầu của tin tặc, do vai trò cốt lõi của họ trong hạ tầng số. Việc mã độc tồn tại gần 3 năm mà không bị phát hiện đặt ra câu hỏi về hiệu quả của các biện pháp giám sát hiện tại.

So sánh với các vụ tấn công tại MTN Nam Phi và hệ thống bán lẻ Anh, có thể thấy xu hướng chung:

  • Tấn công dài hạn: Tin tặc duy trì truy cập trong nhiều năm để thu thập dữ liệu.

  • Mã độc tinh vi: BPFDoor và Web Shell cho thấy sự đầu tư lớn từ các nhóm tin tặc, có thể là quốc gia hậu thuẫn.

  • Hậu quả lan rộng: Rò rỉ dữ liệu không chỉ ảnh hưởng cá nhân mà còn đe dọa an ninh quốc gia.

Hàn Quốc đã gọi vụ việc là “mối đe dọa quốc phòng” và đang thúc đẩy hợp tác quốc tế để đối phó. Các cuộc đàm phán với Mỹ về chứng nhận an ninh IoTCyber Trust Mark là bước đi đúng hướng để chuẩn hóa bảo mật toàn cầu.

Kết luận

Vụ tấn công mạng vào SK Telecom là hồi chuông cảnh tỉnh cho người dùng và doanh nghiệp trên toàn thế giới. Với 26,9 triệu IMSI và hàng trăm ngàn thông tin cá nhân bị rò rỉ, nguy cơ SIM swapping, lừa đảo, và đánh cắp danh tính là hiện hữu. Trong bối cảnh các vụ tấn công tương tự tại MTN Nam Phi và Anh, an ninh mạng 2025 đòi hỏi sự chủ động từ mỗi cá nhân.

An ninh mạng 2025
An ninh mạng 2025

Hãy kiểm tra thiết bị, thay USIM nếu cần, và bật 2FA ngay hôm nay. Nếu bạn là thuê bao SKT, theo dõi thông báo từ hãng và đăng ký dịch vụ bảo vệ USIM. Doanh nghiệp cần đầu tư vào giám sát mạng và đào tạo nhân viên để tránh trở thành nạn nhân tiếp theo. Truy cập SK Telecom để biết thêm chi tiết hoặc liên hệ chuyên gia an ninh mạng để được tư vấn.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *