Die Cybersicherheitsbehörde der Europäischen Union, CERT-EU, hat bestätigt, dass ein kürzlich erfolgter großer Datenverstoß gegen die Europäische Kommission das Ergebnis einer koordinierten Aktion zweier unterschiedlicher Hackergruppen war: TeamPCP und ShinyHunters. Bei dem Vorfall wurden etwa 92 Gigabyte an komprimierten Daten kompromittiert, darunter persönliche Informationen wie Namen, E-Mail-Adressen und der Inhalt von E-Mails.
Details und Umfang des Verstoßes
Der Angriff begann am 19. März, als Hacker an einen geheimen API-Schlüssel gelangten, der mit dem Amazon Web Services (AWS)-Konto der Kommission verknüpft war. Dieser Zugriff wurde durch eine kompromittierte Version des Open-Source-Sicherheitstools Trivy erlangt, das die Kommission nach einem früheren Verstoß unwissentlich heruntergeladen hatte. Die gestohlenen Daten betrafen nicht nur die Kommission, sondern möglicherweise mindestens 29 andere EU-Einrichtungen, die für ihre Websites und Veröffentlichungen auf die Cloud-Infrastruktur der Kommission angewiesen waren.
ShinyHunters übernahm später die Verantwortung für die Online-Veröffentlichung der geleakten Daten. Nach Angaben eines Mitglieds der Gruppe haben sie nach früheren Angriffen einige der gestohlenen Dateien von TeamPCP erworben und diese dann öffentlich verbreitet.
Warum das wichtig ist: Die Zunahme von Angriffen auf die Lieferkette
Dieser Vorfall ist bemerkenswert, weil er einen zunehmenden Trend in der Cyberkriminalität verdeutlicht: Angriffe auf die Lieferkette. Durch die Kompromittierung von Tools wie Trivy erhalten Hacker Zugriff auf mehrere Organisationen, die auf dieselbe Software angewiesen sind. Diese Strategie maximiert die Wirkung mit minimalem Aufwand. Wie Palo Alto Networks Unit 42 erklärt, können Hacker durch gezielte Angriffe auf Entwickler mit Zugang zu sensiblen Systemen Unternehmen zu Lösegeldzahlungen erpressen.
Die Tatsache, dass zwei verschiedene Gruppen beteiligt waren, deutet ebenfalls auf eine mögliche Zusammenarbeit oder opportunistische Ausnutzung derselben Schwachstelle hin. CERT-EU kontaktiert betroffene Organisationen, um weiteren Schaden zu begrenzen. Der Sprecher der Kommission lehnte eine sofortige Stellungnahme ab und erklärte, sie würden nächste Woche antworten.
Risiken der Datenexposition
Die Analyse der geleakten Dateien zeigt, dass etwa 52.000 Dateien E-Mail-Nachrichten enthalten. Während viele davon automatisiert sind und wenig Inhalt enthalten, können E-Mails, die aufgrund von Fehlern zurückgesendet werden, die ursprünglichen, vom Benutzer übermittelten Daten preisgeben, wodurch das Risiko besteht, dass persönliche Daten kompromittiert werden.
Dieser Verstoß unterstreicht die Anfälligkeit selbst hochkarätiger Institutionen gegenüber gängigen Angriffsvektoren wie Lieferkettenkompromittierungen und gestohlenen API-Schlüsseln. Der Vorfall erinnert Unternehmen deutlich daran, Software-Sicherheitsupdates, strenge Zugriffskontrollen und eine sorgfältige Überwachung ihrer Cloud-Infrastruktur zu priorisieren.
