Рансом-група CoinbaseCartel, що заявила про викрадення частини внутрішнього коду SK Telecom, опублікувала на своєму сайті ультиматум: якщо телеком не почне переговори — вони вилиють «FULL SOURCE DISCLOSURE THIS WEEK». Зловмисники стверджують, що у їхньому розпорядженні є ~19,6 МБ файлів (зокрема `.py`), і дають посилання на архів — але в публічних доказах зразків поки мало.
Що сталося: CoinbaseCartel повідомили, що отримали доступ до репозиторіїв SK Telecom приблизно в середині вересня і мають унікальні файли проектів, конфігурацій збірки (Dockerfile), а також потенційно відкриті ключі доступу до хмарних сервісів (AWS). Група публічно вимагає переговорів і натякає на опублікування всього коду, якщо вимоги не будуть задоволені.
Що відомо по фактах: на момент публікації група не показала велику кількість візуальних доказів, але надала посилання на ZIP з кількома файлами; журналісти Cybernews оцінювали обсяг матеріалів у ~19.6 МБ. Раніше у цьому році SK Telecom вже страждав від інших витоків (зокрема інцидент, пов’язаний з групою Qilin, де фігурував 1 ТБ даних).
Можливий вектор компрометації: розслідування Cybernews вказувало на можливу компрометацію облікового запису Bitbucket одного з працівників — репозиторії в хмарних сервісах часто містять секрети або дозволяють доступ до внутрішніх інструментів.
Реакція компанії: на перший запит Cybernews SK Telecom коментарів не надала; раніше за підпискою CEO компанія вже змушена була проводити заміну SIM-карт після іншого інциденту та говорила про додаткові заходи безпеки.
Що собою являє CoinbaseCartel: нова група, помічена у вересні; на своєму onion-сайті вона позиціонує себе як «чисто комерційна» — без політичної мотивації — і фокусується на ексфільтрації даних (не шифруванні файлових систем). На сайті вказано близько 17 жертв, серед яких — великі корпорації з різних секторів.
Ризики: навіть невеликі фрагменти коду або конфігурацій можуть містити жорстко захардкоджені облікові дані, відкривати доступ до внутрішніх інструментів CI/CD або хмарних облікових записів, що підвищує ризик подальших атак і постачальницьких компрометацій.
SK Telecom — найбільший мобільний оператор Південної Кореї з понад 23 млн абонентів, компанія має власні AI-ініціативи і глобальні інвестиції. За останній рік телеком вже переживав кілька інцидентів безпеки: наприклад, атаки, пов’язані з Qilin, призвели до масштабних наслідків, зокрема до замін SIM-карт і публічних вибачень керівництва. Загалом у світі зростає тенденція, коли витоки з репозиторіїв і постачальницьких сервісів (Bitbucket, GitHub, AWS-ключі) стають «входом» для масштабних компрометацій — тому багато експертів радять жорсткішу сегментацію, ротацію секретів і ретельний аудит доступів.
Інцидент з CoinbaseCartel — ще одне нагадування про те, що захист коду і секретів в репозиторіях є критичною частиною кібербезпеки сучасних компаній. Навіть якщо наразі публічних доказів обсягу матеріалів мало, ризики від відкритих або жорстко закодованих секретів великі: компаніям радять терміново перевірити доступи, провести ротацію ключів, активувати двофакторну автентифікацію для репозиторіїв і ввести процеси перевірки секретів у CI/CD, а користувачам — слідкувати за офіційними повідомленнями оператора та підписатися на оповіщення про інцидент.
