O Ministério da Ciência e das Tecnologias da Informação e Comunicação (TIC) da Coreia do Sul revelou que a operadora Korea Telecom (KT) utilizou milhares de femtocells com padrões de segurança extremamente frágeis, o que abriu caminho para ataques sofisticados. As falhas permitiram tanto fraudes financeiras por meio de micropagamentos quanto a interceptação de comunicações de clientes, possivelmente ao longo de vários anos.
As femtocells são pequenos equipamentos instalados nas residências ou empresas dos usuários, funcionando como estações base móveis conectadas à rede da operadora por meio de banda larga fixa. Elas costumam ser adotadas para melhorar a cobertura móvel em locais onde o sinal é limitado.
Segundo a investigação, a KT distribuiu milhares desses dispositivos utilizando um único certificado digital para autenticação na rede. O pesquisador sul-coreano de segurança da informação Yongdae Kim, membro do IEEE, apontou que as femtocells não possuíam senha de administrador, armazenavam chaves criptográficas em texto simples e permitiam acesso remoto, já que o protocolo SSH vinha ativado por padrão.
Com essas vulnerabilidades, invasores puderam extrair o certificado e criar femtocells clonadas, que eram reconhecidas pela rede da KT como legítimas. Como o certificado tinha validade de dez anos, os criminosos teriam uma ampla janela de tempo para explorar a falha. O relatório do Ministério indica que uma femtocell falsa permaneceu ativa por cerca de dez meses, entre 2024 e 2025.
A análise também concluiu que os aparelhos dos clientes se conectavam automaticamente às femtocells clonadas, possibilitando que os atacantes tivessem acesso a mensagens SMS e a informações sobre chamadas realizadas, como números discados.
Fraudes em micropagamentos levantaram alerta
A Korea Telecom oferece um serviço de micropagamentos que permite a cobrança de conteúdos digitais diretamente na fatura do cliente via SMS. Em setembro, a empresa identificou transações suspeitas associadas ao uso de femtocells clonadas, que somaram cerca de US$ 169 mil.
De acordo com o relatório oficial, ao menos 368 clientes foram afetados pela fraude. Para Yongdae Kim, no entanto, o valor financeiro é pequeno diante da complexidade da infraestrutura criminosa envolvida. Ele sugere que a principal motivação do ataque pode ter sido a coleta massiva de dados e a vigilância, e que a fraude apenas expôs uma operação que poderia ter permanecido invisível por muito mais tempo.
Essa hipótese ganha força porque a KT só possui registros completos de pagamentos a partir de julho de 2024, o que indica que o impacto real do problema pode ser maior do que o inicialmente identificado.
Investigação policial e conexões com ataques anteriores
A polícia sul-coreana divulgou recentemente novos detalhes da investigação, incluindo a descoberta de uma femtocell falsa que utilizava uma chave originalmente instalada em um equipamento usado em uma base militar em 2019 e desaparecido no ano seguinte.
As autoridades identificaram múltiplas femtocells clonadas e indícios da atuação de uma organização criminosa estruturada. Treze suspeitos foram presos, enquanto o suposto líder do grupo segue foragido e é alvo de um alerta vermelho da Interpol.
A investigação também não descarta que os criminosos tenham obtido informações sensíveis a partir de um ataque anterior à Korea Telecom, no qual o malware BPFDoor teria vazado dados da operadora por cerca de três anos, a partir de 2022. Há ainda indícios de práticas de “war-driving”, com os criminosos buscando ativamente outros dispositivos móveis para interceptar. Um dos detidos tentou utilizar uma femtocell ilegal no Aeroporto de Incheon no mesmo dia em que outro integrante tentava enviar o hardware adulterado para a China.
Reação do governo e cenário de insegurança
Diante da gravidade do caso, o governo da Coreia do Sul determinou que a KT permita que seus clientes rescindam contratos sem aplicação de multas. O episódio se soma a uma série de incidentes recentes de segurança no país, incluindo vazamentos massivos de dados envolvendo empresas como Coupang e SK Telecom, além de operações de espionagem digital que afetaram severamente a privacidade de cidadãos sul-coreanos.
O país também enfrenta um cenário constante de tensões cibernéticas, com ataques recorrentes atribuídos à Coreia do Norte, reforçando o alerta sobre a fragilidade da segurança digital em infraestruturas críticas.
