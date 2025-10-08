В конце сентября 2025 года Южная Корея столкнулась с одним из крупнейших технологических сбоев в истории страны. Два пожара в дата-центрах, произошедших за неделю, парализовали работу сотен государственных онлайн-сервисов, включая госуслуги, почтовые и налоговые системы. Премьер-министр страны назвал ситуацию «цифровым параличом». В сети предполагают, что происходящее может быть связано со статьей из Phrack о взломе систем северокорейского хакера.

Пожары и «цифровой паралич»

Первый пожар произошел 26 сентября в здании Национальной службы информационных ресурсов (­NIRS) в городе Тэджон и продолжался более 22 часов. По данным CNN и Korea Herald, причиной возгорания стало воспламенение литий-ионных аккумуляторов системы бесперебойного питания, которые в момент инцидента заменяли и переносили в подвал здания.

NIRS представляет собой основу южнокорейской системы электронного правительства, интегрируя ИТ-инфраструктуру центральных министерств и местных органов власти. Более трети из 1600 правительственных систем размещались именно в упомянутом дата-центре.

Из-за пожара температура в серверной достигла критических значений, и сообщается, что перегрев одних батарей спровоцировал цепную реакцию воспламенения других. На тушение были брошены 170 пожарных и 63 пожарные машины, но справиться с огнем удалось только к утру следующего дня.

Последствия оказались катастрофическими: из строя вышли 96 критически важных информационных систем, и превентивно был отключен еще 551 сервис (чтобы предотвратить повреждение от перегрева). В общей сложности 647 государственных онлайн-служб прекратили работу одновременно.

Наиболее серьезный ущерб был нанесен государственной облачной платформе G-Drive — аналогу Google Drive для госслужащих. С 2018 года все 750 000 чиновников страны были обязаны хранить рабочие документы исключительно в этом облаке. Каждому сотруднику предоставлялось около 30 ГБ пространства для отчетов, служебных документов и файлов.

Как оказалось, в силу архитектуры системы внешних резервных копий G-Drive не существовало (бэкапы хранились на отдельном оборудовании внутри того же здания, и пожар уничтожил как основные данные, так и их резервные копии). В результате, по информации Korea Herald, пожар привел к полной и необратимой потере данных. Суммарно могло быть безвозвратно утеряно до 858 ТБ правительственной информации.

Больше всего пострадало Министерство управления персоналом, где сотрудники были обязаны хранить документы исключительно в G-Drive. Сейчас ведомство пытается восстановить информацию из локальных файлов, сохраненных на личных компьютерах сотрудников, электронной почты и бумажных копий.

Также среди отключившихся из-за пожара сервисов оказались: портал государственных услуг Government 24, системы онлайн-почты, система мобильной идентификации (что создало проблемы для путешественников в аэропортах), порталы для подачи жалоб и уплаты налогов, и даже система экстренных вызовов 119.

Спустя неделю после первого инцидента, 3 октября, произошел второй пожар — на этот раз в дата-центре компании Lotte Innovate, также расположенном в Тэджоне. По информации DataCenter Dynamics, на его ликвидацию потребовалось менее часа. На место выехали 21 пожарная машина и 62 сотрудника. Предварительной причиной также было названо возгорание аккумулятора.

Два крупных пожара в дата-центрах одного города за одну неделю — событие статистически маловероятное, и произошедшее породило множество вопросов в профессиональном сообществе. СМИ пишут, что произошедшее стало результатом накопившихся системных проблем. Так, в ноябре 2023 года уже произошел масштабный сбой административных систем, после которого эксперты рекомендовали внедрить систему «twin server» — полностью дублированную архитектуру с зеркалированием данных в реальном времени. Однако эти рекомендации так и не были реализованы.

Аудит, проведенный в 2024 году, также выявил, что NIRS систематически задерживала замену устаревшего оборудования, а некоторые устройства имели коэффициент отказов более 100%.

По данным Korea Herald, по состоянию на 3 октября было восстановлено только 115 из 647 пострадавших систем — около 18%. Правительство первоначально обещало восстановить работу пострадавших сервисов за две недели, но эксперты предполагают, что сроки будут увеличены.

К настоящему времени полиция провела обыски в штаб-квартире NIRS и на предприятиях, связанных с поставкой системы бесперебойного питания. Четыре человека задержаны по подозрению в профессиональной халатности, включая одного сотрудника NIRS и трех подрядчиков, отвечавших за перемещение батарей.

Также с произошедшим связывают смерть 56-летнего высокопоставленного чиновника, который курировал работы по восстановлению дата-центра. По данным южнокорейской газеты The Dong-A Ilbo, утром 3 октября он был найден возле центрального здания правительственного комплекса в городе Сечжон и вскоре скончался в больнице. Его мобильный телефон обнаружили в зоне для курения на 15 этаже. Чиновник занимал высокую должность в Офисе инноваций электронного правительства. Министерство внутренних дел и безопасности страны подчеркнуло, что он не был вовлечен в расследование пожара, однако обстоятельства его смерти расследуются.

Теория о связи с КНДР

Параллельно с расследованием пожаров в сети появилась неожиданная и почти конспирологическая теория. Как наверняка помнят многие наши читатели, в июне 2025 года издание Phrack (легендарный езин, который издается с 1985 года) опубликовало масштабное расследование под названием «APT Down: The North Korea Files».

Тогда хакеры под никами Saber и cyb0rg написали статью, в которой рассказали о взломе участника северокорейской шпионской хак-группы Kimsuky (она же APT43 и Thallium). Мы публиковали детальный пересказ этого материала.

Авторы статьи заявляли, что смогли взломать рабочую станцию с виртуальной машиной и VPS, принадлежащие северокорейскому хакеру, которого они называли «Ким». Это позволило им скомпрометировать почти 20 000 записей и историю браузеров Chrome и Brave, принадлежащих злоумышленнику, похитить руководства по эксплуатации малвари, пароли и адреса электронной почты, а также учетные данные для различных инструментов.

В результате Saber и cyb0rg получили огромный массив данных о кибератаках на южнокорейские организации. Согласно статье, «Ким» имел доступ к внутренним сетям правительства Южной Кореи, включая систему Onnara — внутренний правительственный портал. Также были обнаружены украденные сертификаты правительственной инфраструктуры публичных ключей (GPKI), логи атак на Министерство обороны, Министерство иностранных дел и другие государственные структуры Южной Кореи.

Теперь эта публикация Phrack дополнена интересной хронологией: как оказалось, авторы статьи пытались предупредить власти Южной Кореи об атаках начиная с 16 июня 2025 года, информируя Командование военной контрразведки, KISA (Агентство по безопасности интернета Кореи), KrCERT и другие структуры.

Далее, согласно хронологии Phrack, события развивались следующим образом.

24 сентября 2025 : парламент Южной Кореи запустил расследование возможных хакерских атак со стороны Китая и КНДР на критически важные правительственные системы страны.

: парламент Южной Кореи запустил расследование возможных хакерских атак со стороны Китая и КНДР на критически важные правительственные системы страны. 25 сентября : правительство объявило о проведении выездной инспекции, запланированной на 26-27 сентября.

: правительство объявило о проведении выездной инспекции, запланированной на 26-27 сентября. 26 сентября, вечер : в день начала инспекции в дата-центре NIRS вспыхнул пожар, полностью уничтоживший 96 серверов, включая системы Onnara и GPKI — именно те, которые упоминались в статье Phrack как скомпрометированные.

: в день начала инспекции в дата-центре NIRS вспыхнул пожар, полностью уничтоживший 96 серверов, включая системы Onnara и GPKI — именно те, которые упоминались в статье Phrack как скомпрометированные. 2 октября : второй пожар произошел в дата-центре Lotte IDC, который также затрагивало расследование.

: второй пожар произошел в дата-центре Lotte IDC, который также затрагивало расследование. 3 октября: смерть 56-летнего чиновника, курировавшего работу по восстановлению дата-центра.

Авторы Phrack отмечают, что батареи, возгорание которых называется официальной причиной пожара, были произведены компанией LG — материнской компанией LG Uplus, которая, согласно их расследованию, тоже была скомпрометирована северокорейскими хакерами.

В результате в сети появилась теория о том, что пожары могли быть частью операции по уничтожению улик, а смерть чиновника — связана с расследованием этих кибератак. Однако следует подчеркнуть, что это лишь теория, которая не имеет официальных подтверждений. Власти Южной Кореи расследуют пожары как результат технической неисправности и профессиональной халатности, а обстоятельства смерти чиновника изучаются отдельно.