Agencja Unii Europejskiej ds. cyberbezpieczeństwa CERT-EU potwierdziła, że niedawne naruszenie danych na dużą skalę, które dotknęło Komisję Europejską, było wynikiem skoordynowanych wysiłków dwóch odrębnych grup hakerskich: TeamPCP i ShinyHunters. W wyniku tego incydentu naruszone zostało około 92 gigabajtów skompresowanych danych, w tym dane osobowe, takie jak imiona i nazwiska, adresy e-mail i treść wiadomości e-mail.
Szczegóły i skala wycieku
Atak rozpoczął się 19 marca, kiedy napastnicy uzyskali tajny klucz API powiązany z kontem Komisji Europejskiej w serwisie Amazon Web Services (AWS). Dostęp uzyskano poprzez skompromitowaną wersję narzędzia bezpieczeństwa typu open source Trivy, które Komisja nieświadomie pobrała po poprzednim wycieku. Skradzione dane dotknęły nie tylko Komisję, ale prawdopodobnie także co najmniej 29 innych organizacji UE korzystających z infrastruktury chmury Komisji na potrzeby swoich stron internetowych i publikacji.
ShinyHunters przyznało się później do opublikowania skradzionych danych w Internecie. Według jednego z członków grupy zakupili oni część skradzionych plików od TeamPCP po poprzednich atakach, a następnie rozpowszechnili je publicznie.
Dlaczego to ma znaczenie: liczba ataków na łańcuch dostaw rośnie
Ten incydent jest godny uwagi, ponieważ podkreśla rosnącą tendencję w cyberprzestępczości: ataki na łańcuch dostaw. Kompromitując narzędzia takie jak Trivy, hakerzy uzyskują dostęp do wielu organizacji korzystających z tego samego oprogramowania. Strategia ta maksymalizuje efekt przy minimalnym wysiłku. Jak wyjaśnia jednostka 42 Palo Alto Networks, atakowanie programistów mających dostęp do wrażliwych systemów umożliwia hakerom wyłudzanie okupów od organizacji.
Fakt, że w incydent zaangażowane były dwie różne grupy, również sugeruje możliwą współpracę lub oportunistyczne wykorzystanie tej samej luki. CERT-EU kontaktuje się z organizacjami, których to dotyczy, aby złagodzić dalsze szkody. Rzecznik Komisji odmówił natychmiastowego komentarza, twierdząc, że odpowiedź zostanie udzielona w przyszłym tygodniu.
Ryzyko ujawnienia danych
Analiza plików, które wyciekły, pokazuje, że około 52 000 plików zawiera e-maile. Chociaż wiele z nich jest zautomatyzowanych i brakuje im istotnej treści, e-maile zwracane z powodu błędów mogą ujawniać oryginalne dane dostarczone przez użytkowników, stwarzając ryzyko naruszenia bezpieczeństwa danych osobowych.
Wyciek ten uwypukla podatność nawet znanych instytucji na typowe wektory ataków, takie jak naruszenie bezpieczeństwa łańcucha dostaw i kradzież klucza API. Ten incydent stanowi wyraźne przypomnienie dla organizacji, aby nadawały priorytet aktualizacjom oprogramowania, solidnej kontroli dostępu i nieustannemu monitorowaniu infrastruktury chmurowej.
