Агентство Европейского союза по кибербезопасности CERT-EU подтвердило, что недавняя крупномасштабная утечка данных, затронувшая Европейскую комиссию, стала результатом скоординированных действий двух отдельных хакерских групп: TeamPCP и ShinyHunters. В результате инцидента было скомпрометировано около 92 гигабайт сжатых данных, включая личную информацию, такую как имена, адреса электронной почты и содержимое электронных писем.
Подробности и масштаб утечки
Атака началась 19 марта, когда злоумышленники получили секретный API-ключ, связанный с учетной записью Европейской комиссии в Amazon Web Services (AWS). Доступ был получен посредством скомпрометированной версии инструмента безопасности с открытым исходным кодом Trivy, который Комиссия неосознанно загрузила после предыдущей утечки. Украденные данные затронули не только Комиссию, но и, возможно, по крайней мере 29 других организаций ЕС, использующих облачную инфраструктуру Комиссии для своих веб-сайтов и публикаций.
ShinyHunters позже взяли на себя ответственность за публикацию украденных данных в сети. По словам одного из участников группы, они приобрели часть украденных файлов у TeamPCP после предыдущих атак, а затем распространили их в открытом доступе.
Почему это важно: Рост атак на цепочки поставок
Этот инцидент примечателен тем, что он подчеркивает растущую тенденцию в киберпреступности: атаки на цепочки поставок. Компрометируя такие инструменты, как Trivy, хакеры получают доступ к нескольким организациям, использующим одно и то же программное обеспечение. Эта стратегия максимизирует воздействие при минимальных усилиях. Как объясняет Unit 42 из Palo Alto Networks, нацеливание на разработчиков с доступом к конфиденциальным системам позволяет хакерам вымогать выплаты выкупа у организаций.
Тот факт, что в инциденте участвовали две отдельные группы, также предполагает возможное сотрудничество или оппортунистическую эксплуатацию одной и той же уязвимости. CERT-EU связывается с пострадавшими организациями для смягчения дальнейшего ущерба. Представитель Комиссии отказался давать немедленные комментарии, заявив, что предоставит ответ на следующей неделе.
Риски раскрытия данных
Анализ утеченных файлов показывает, что приблизительно 52 000 файлов содержат электронные письма. Хотя многие из них автоматизированы и не содержат существенного контента, электронные письма, возвращенные из-за ошибок, могут раскрыть оригинальные данные, предоставленные пользователями, что создает риск компрометации личной информации.
Эта утечка подчеркивает уязвимость даже высокопоставленных учреждений к распространенным векторам атак, таким как компрометация цепочек поставок и кража API-ключей. Этот инцидент служит суровым напоминанием для организаций о необходимости уделять приоритетное внимание обновлениям программного обеспечения, надежным средствам контроля доступа и неустанному мониторингу своей облачной инфраструктуры.
