Агентство Європейського союзу з кібербезпеки CERT-EU підтвердило, що нещодавній великомасштабний витік даних, що торкнувся Європейської комісії, став результатом скоординованих дій двох окремих хакерських груп: TeamPCP і ShinyHunters. В результаті інциденту було скомпрометовано близько 92 гігабайт стиснених даних, включаючи особисту інформацію, таку як імена, адреси електронної пошти та вміст електронних листів.
Подробиці та масштаб витоку
Атака розпочалася 19 березня, коли зловмисники отримали секретний API-ключ, пов’язаний з обліковим записом Європейської комісії в Amazon Web Services (AWS). Доступ було отримано за допомогою скомпрометованої версії інструменту безпеки з відкритим вихідним кодом Trivy, який Комісія неусвідомлено завантажила після попереднього витоку. Вкрадені дані торкнулися не лише Комісії, а й, можливо, принаймні 29 інших організацій ЄС, які використовують хмарну інфраструктуру Комісії для своїх веб-сайтів та публікацій.
ShinyHunters пізніше взяли на себе відповідальність за публікацію вкрадених даних у мережі. За словами одного з учасників групи, вони придбали частину вкрадених файлів у TeamPCP після попередніх атак, а потім розповсюдили їх у відкритому доступі.
Чому це важливо: Зростання атак на ланцюжки поставок
Цей інцидент примітний тим, що він підкреслює тенденцію, що зростає в кіберзлочинності: атаки на ланцюжки поставок. Компрометуючи такі інструменти, як Trivy, хакери отримують доступ до кількох організацій, що використовують одне й те програмне забезпечення. Ця стратегія максимізує вплив за мінімальних зусиль. Як пояснює Unit 42 з Palo Alto Networks, націлювання на розробників із доступом до конфіденційних систем дозволяє хакерам вимагати виплати викупу у організацій.
Той факт, що в інциденті брали участь дві окремі групи, також передбачає можливу співпрацю або опортуністичну експлуатацію однієї і тієї ж уразливості. CERT-EU пов’язується з постраждалими організаціями для пом’якшення подальших збитків. Представник Комісії відмовився давати негайні коментарі, заявивши, що надасть відповідь наступного тижня.
Ризики розкриття даних
Аналіз витоку файлів показує, що приблизно 52 000 файлів містять електронні листи. Хоча багато хто з них автоматизований і не містить істотного контенту, електронні листи, повернені через помилки, можуть розкрити оригінальні дані, надані користувачами, що створює ризик компрометації особистої інформації.
Цей витік підкреслює вразливість навіть високопоставлених установ до поширених векторів атак, таких як компрометація ланцюжків поставок та крадіжка API-ключів. Цей інцидент є суворим нагадуванням для організацій про необхідність приділяти пріоритетну увагу оновленням програмного забезпечення, надійним засобам контролю доступу та невпинному моніторингу своєї хмарної інфраструктури.
