Europejska agencja CERT-EU poinformowała, że ostatnie włamanie do Komisji Europejskiej zostało przeprowadzone przez cyberprzestępczą grupę znaną jako TeamPCP. Część skradzionych materiałów pojawiła się następnie w sieci za sprawą grupy ShinyHunters.
Jak doszło do włamania
CERT-EU ustaliło, że 19 marca atakujący zdobyli tajny klucz API powiązany z kontem AWS Komisji. Punktem wejścia był wcześniejszy kompromit projektu open source — narzędzia Trivy; Komisja przypadkowo pobrała zmodyfikowaną wersję Trivy, co umożliwiło złodziejom pozyskanie klucza i przejście do zasobów w chmurze.
Skala i rodzaj wykradzionych danych
Z konta AWS skradziono około 92 gigabajty skompresowanych danych związanych z infrastrukturą platformy Europa.eu, wykorzystywanej do hostowania stron i publikacji instytucji UE. CERT-EU wskazuje, że dane co najmniej 29 innych podmiotów UE mogą być dotknięte, a dziesiątki wewnętrznych klientów Komisji mogły mieć utracone informacje.
- Ok. 92 GB skompresowanych danych wykradziono z konta AWS Komisji.
- Blisko 52 000 plików zawiera wysłane wiadomości e-mail; większość to automatyczne powiadomienia.
- Wiadomości zwrotne z błędami mogą zawierać oryginalne treści przesyłane przez użytkowników.
- Co najmniej 29 innych podmiotów UE może być dotkniętych wyciekiem.
Kto stoi za atakiem i reakcje
CERT-EU przypisało atak TeamPCP, a opublikowaniem skradzionych danych zajęła się grupa ShinyHunters, która według relacji twierdziła, że część opublikowanych materiałów pochodzi z wcześniejszych działań TeamPCP. Analizy wskazują, że TeamPCP wcześniej prowadziła kampanie ransomware, kopania kryptowalut oraz ataki na łańcuchy dostaw projektów open source. CERT-EU kontaktuje się z podmiotami dotkniętymi incydentem, a Komisja Europejska zapowiedziała komentarz po wznowieniu pracy.
