Пожары и «цифровой паралич»
Первый пожар произошел 26 сентября в здании Национальной службы информационных ресурсов .NIRS) в городе Тэджон и продолжался более 22 часов. По данным CNN и издания Korea Herald, причиной возгорания стало воспламенение литий‑ионных аккумуляторов системы бесперебойного питания, которые в момент инцидента заменяли и переносили в подвал здания.
NIRS представляет собой основу южнокорейской системы электронного правительства, интегрируя ИТ‑инфраструктуру центральных министерств и местных органов власти. Более трети из 1600 правительственных систем размещались именно в сгоревшем дата‑центре.
Из‑за пожара температура в серверной достигла критических значений, и сообщалось, что перегрев одних батарей спровоцировал цепную реакцию воспламенения других. На тушение были брошены 170 пожарных и 63 пожарные машины, но справиться с огнем удалось только к утру следующего дня.
Последствия оказались катастрофическими для всей страны: из строя вышли 96 критически важных информационных систем, и превентивно был отключен еще 551 сервис. В общей сложности 647 государственных онлайн‑служб прекратили работу одновременно.
Наиболее серьезный ущерб был нанесен государственной облачной платформе G-Drive — аналогу Google Drive для госслужащих. С 2018 года все 750 000 чиновников страны были обязаны хранить рабочие документы исключительно в этом облаке. Каждому сотруднику предоставлялось около 30 Гбайт пространства для отчетов, служебных документов и файлов.
Как оказалось, в силу архитектуры системы, внешних резервных копий G-Drive не существовало (бэкапы хранились на отдельном оборудовании внутри того же здания, и пожар уничтожил как основные данные, так и их резервные копии). В результате пожар привел к полной и необратимой потере данных. Суммарно было безвозвратно утрачено около 858 Тбайт правительственной информации.
Больше всего пострадало Министерство управления персоналом, где сотрудники были обязаны хранить документы исключительно в G-Drive. Сотрудникам ведомства удалось восстанавливать лишь часть информации — то, что хранилось на личных компьютерах сотрудников, в электронной почте и на бумаге.
Также среди отключившихся из‑за пожара сервисов оказались: портал государственных услуг Government 24, системы онлайн‑почты, система мобильной идентификации (что создало проблемы для путешественников в аэропортах), порталы для подачи жалоб и уплаты налогов, и даже система экстренных вызовов 119.
Спустя неделю после первого инцидента, 3 октября, произошел второй пожар — на этот раз в дата‑центре компании Lotte Innovate, также расположенном в Тэджоне. По информации DataCenter Dynamics, на его ликвидацию потребовалось менее часа. На место выехали 21 пожарная машина и 62 сотрудника. Предварительной причиной пожара снова было названо возгорание аккумулятора.
Два крупных пожара в дата‑центрах одного города за одну неделю — событие статистически маловероятное. В результате произошедшее породило множество вопросов в профессиональном сообществе.
Как отмечали СМИ, инцидент стал результатом накопившихся системных проблем. Так, в ноябре 2023 года уже случался масштабный сбой в работе административных систем, после которого эксперты рекомендовали внедрить систему twin server — полностью дублированную архитектуру с зеркалированием данных в реальном времени. Однако эти рекомендации так и не были реализованы.
Аудит, проведенный в 2024 году, также выявил, что NIRS систематически задерживала замену устаревшего оборудования, а некоторые устройства имели коэффициент отказов более 100%.
В результате по состоянию на 3 октября 2025 года, властям удалось восстановить лишь 115 из 647 пострадавших систем — около 18%. Первоначально правительство обещало возобновить работу пострадавших сервисов за две недели, однако эксперты сразу предупреждали, что сроки наверняка будут существенно увеличены.
После пожаров полиция провела обыски в штаб‑квартире NIRS и на предприятиях, связанных с поставкой системы бесперебойного питания. Четыре человека были задержаны по подозрению в профессиональной халатности, включая одного сотрудника NIRS и трех подрядчиков, отвечавших за перемещение батарей.
Также с произошедшим связывают смерть 56-летнего высокопоставленного чиновника, который курировал работы по восстановлению дата‑центра. Утром 3 октября он был найден возле центрального здания правительственного комплекса в городе Сечжон и вскоре скончался в больнице. Его мобильный телефон обнаружили в зоне для курения на 15 этаже. Чиновник занимал высокую должность в Офисе инноваций электронного правительства. Министерство внутренних дел и безопасности страны подчеркнуло, что он не был вовлечен в расследование пожара, однако обстоятельства его смерти расследуются.
Теория о связи с КНДР
Параллельно с расследованием пожаров в сети появилась неожиданная и почти конспирологическая теория. Дело в том, что в июне 2025 года издание Phrack (легендарный езин, который издается с 1985 года) опубликовало масштабное расследование под названием «APT Down: The North Korea Files».
Хакеры под никами Saber и cyb0rg написали статью, в которой рассказали о взломе участника северокорейской шпионской хак‑группы Kimsuky (она же APT43 и Thallium).
Авторы публикации заявляли, что смогли взломать рабочую станцию с виртуальной машиной и VPS, принадлежащие северокорейскому хакеру, которого они называли «Ким». Это позволило им скомпрометировать почти 20 000 файлов, в том числе историю браузеров Chrome и Brave, принадлежащих злоумышленнику, похитить руководства по эксплуатации малвари, пароли и адреса электронной почты, а также учетные данные для различных инструментов.
В результате Saber и cyb0rg получили огромный массив данных о кибератаках на южнокорейские организации. Согласно статье, «Ким» имел доступ к внутренним сетям правительства Южной Кореи, включая систему Onnara — внутренний правительственный портал. Также были обнаружены украденные сертификаты правительственной инфраструктуры публичных ключей (GPKI), логи атак на Министерство обороны, Министерство иностранных дел и другие государственные структуры Южной Кореи.
После пожаров в дата‑центрах публикация Phrack была дополнена интересной хронологией. Как оказалось, авторы статьи пытались предупредить власти Южной Кореи об атаках начиная с 16 июня 2025 года, информируя Командование военной контрразведки, KISA (Агентство по безопасности интернета Кореи), KrCERT и другие структуры.
Далее, согласно хронологии Phrack, события развивались следующим образом.
- 24 сентября 2025: парламент Южной Кореи запустил расследование возможных хакерских атак со стороны Китая и КНДР на критически важные правительственные системы страны.
- 25 сентября: правительство объявило о проведении выездной инспекции, запланированной на 26-27 сентября.
- 26 сентября: в день начала инспекции в дата‑центре NIRS вспыхнул пожар, полностью уничтоживший 96 серверов, включая системы Onnara и GPKI — именно те, которые упоминались в статье Phrack как скомпрометированные.
- 2 октября: второй пожар произошел в дата‑центре Lotte IDC, который также затрагивало расследование.
- 3 октября: смерть 56-летнего чиновника, курировавшего работу по восстановлению дата‑центра.
Авторы Phrack отмечают, что батареи, чье возгорание было названо официальной причиной пожара, были произведены компанией LG — материнской компанией LG Uplus, которая, согласно их расследованию, тоже была скомпрометирована северокорейскими хакерами.
В результате в сети появилась теория о том, что пожары могли быть частью операции по уничтожению улик, а смерть чиновника — связана с расследованием кибератак КНДР.
Однако это лишь теория, которая не имеет официальных подтверждений. Власти Южной Кореи расследуют пожары как результат технической неисправности и профессиональной халатности, а обстоятельства смерти госслужащего изучаются отдельно.
