Agentura Evropské unie pro kybernetickou bezpečnost CERT-EU potvrdila, že nedávné rozsáhlé narušení dat postihující Evropskou komisi bylo výsledkem koordinovaného úsilí dvou samostatných hackerských skupin: TeamPCP a ShinyHunters. V důsledku incidentu bylo ohroženo přibližně 92 gigabajtů komprimovaných dat, včetně osobních údajů, jako jsou jména, e-mailové adresy a obsah e-mailů.
Podrobnosti a rozsah úniku
Útok začal 19. března, kdy útočníci získali tajný klíč API spojený s účtem Amazon Web Services (AWS) Evropské komise. Přístup byl získán prostřednictvím kompromitované verze open source bezpečnostního nástroje Trivy, který Komise nevědomky stáhla po předchozím úniku. Ukradená data ovlivnila nejen Komisi, ale možná také nejméně 29 dalších organizací EU, které využívají cloudovou infrastrukturu Komise pro své webové stránky a publikace.
ShinyHunters se později přihlásil k odpovědnosti za zveřejnění ukradených dat online. Podle jednoho z členů skupiny zakoupili po předchozích útocích některé z ukradených souborů z TeamPCP a poté je veřejně distribuovali.
Proč na tom záleží: Útoky na dodavatelský řetězec jsou na vzestupu
Tento incident je pozoruhodný, protože zdůrazňuje rostoucí trend v kyberkriminalitě: útoky v dodavatelském řetězci. Díky kompromitaci nástrojů, jako je Trivy, získají hackeři přístup k více organizacím pomocí stejného softwaru. Tato strategie maximalizuje dopad s minimálním úsilím. Jak vysvětluje Unit 42 Palo Alto Networks, zacílení na vývojáře s přístupem k citlivým systémům umožňuje hackerům vymáhat od organizací platby výkupného.
Skutečnost, že do incidentu byly zapojeny dvě samostatné skupiny, také naznačuje možnou spolupráci nebo oportunistické zneužití stejné zranitelnosti. CERT-EU kontaktuje postižené organizace za účelem zmírnění dalších škod. Mluvčí Komise odmítl okamžitě komentovat s tím, že odpověď poskytne příští týden.
Rizika prozrazení údajů
Analýza uniklých souborů ukazuje, že přibližně 52 000 souborů obsahuje e-maily. Zatímco mnohé jsou automatizované a postrádají významný obsah, e-maily vrácené kvůli chybám mohou odhalit původní data poskytnutá uživateli, což vytváří riziko ohrožení osobních údajů.
Tento únik zdůrazňuje zranitelnost i vysoce profilovaných institucí vůči běžným vektorům útoků, jako je kompromitace dodavatelského řetězce a krádež klíčů API. Tento incident slouží jako ostrá připomínka pro organizace, aby upřednostňovaly aktualizace softwaru, robustní řízení přístupu a vytrvalé monitorování své cloudové infrastruktury.
