Агентство ЄС із кібербезпеки (CERT-EU) заявило про масштабний витік даних у системах Європейської комісії. За попередніми даними, до інциденту причетні одразу дві хакерські групи — TeamPCP і ShinyHunters.
Масштаб витоку
Зловмисники викрали близько 92 ГБ стиснутих даних із хмарної інфраструктури Amazon Web Services (AWS), яку використовує Європейська комісія.
Серед викрадених даних:
- імена користувачів;
- адреси електронної пошти;
- вміст електронних листів;
- службова інформація з платформи Europa.eu.
За оцінками CERT-EU:
- постраждати могли щонайменше 29 організацій ЄС;
- десятки внутрішніх підрозділів Комісії також опинилися під загрозою.
Як сталася атака
Ключовим фактором стала компрометація секретного API-ключа AWS.
Це стало можливим через:
- використання скомпрометованої версії open-source інструменту Trivy;
- попередню атаку на ланцюг постачання програмного забезпечення;
- отримання доступу до критичних облікових даних.
Після цього хакери змогли отримати доступ до хмарних ресурсів і завантажити дані.
Роль двох хакерських груп
Інцидент є незвичним тим, що в ньому фігурують дві різні групи:
- TeamPCP — ймовірно здійснила первинний злом і викрадення даних;
- ShinyHunters — оприлюднила викрадену інформацію в інтернеті.
За словами представника ShinyHunters, вони отримали частину даних, здобутих під час попередніх атак.
Що саме було викрадено
Серед оприлюднених матеріалів:
- близько 52 000 файлів електронної пошти;
- значна частина листів — автоматичні повідомлення;
- однак частина може містити реальний користувацький контент, що створює ризики витоку персональних даних.
Контекст: атаки на open-source
Інцидент пов’язують із ширшою кампанією атак на ланцюги постачання ПЗ.
За даними дослідників:
- хакери цілеспрямовано атакують open-source проєкти;
- викрадають ключі доступу до інфраструктури;
- використовують їх для подальших атак або вимагання.
Групу TeamPCP також пов’язують із:
- атаками програм-вимагачів;
- кампаніями криптомайнінгу;
- іншими інцидентами у сфері кібербезпеки.
Висновок
Атака на Європейську комісію демонструє новий рівень складності кіберзагроз — поєднання атак на open-source інструменти та хмарну інфраструктуру.
Особливу небезпеку становить компрометація ланцюгів постачання, адже вона дозволяє зловмисникам отримувати доступ до великої кількості організацій одночасно.
