Служба кибербезопасности ЕС (CERT-EU) возложила ответственность за взлом облака Еврокомиссии на группировку TeamPCP. Утечка затронула данные как минимум 29 структур Союза. Хакеры использовали скомпрометированный ключ AWS, похищенный в атаке на Trivy, для кражи данных, которые затем опубликовала ShinyHunters. — bleepingcomputer.com
Служба кибербезопасности Европейского Союза (CERT-EU) связала взлом облачных сервисов Еврокомиссии с хакерской группировкой TeamPCP, заявив, что в результате инцидента были скомпрометированы данные как минимум 29 других структур Союза.
Еврокомиссия официально сообщила об инциденте 27 марта после того, как BleepingComputer обратился за подтверждением факта взлома облачной среды Amazon, используемой главным исполнительным органом ЕС.
Двумя днями ранее Комиссия уведомила CERT-EU о взломе, указав, что её Центр операций по кибербезопасности не получил оповещений о неправомерном использовании API, возможном компрометации учетных записей или любой аномальной сетевой активности до 24 марта, то есть спустя пять дней после первоначального вторжения.
10 марта TeamPCP использовала скомпрометированный ключ API Amazon Web Services с правами администратора для доступа к другим учетным записям AWS Еврокомиссии (похищенный в ходе атаки на цепочку поставок Trivy), чтобы проникнуть в облачную среду Комиссии на базе Amazon.
На следующем этапе атаки злоумышленники применили TruffleHog (инструмент для сканирования и проверки облачных учетных данных) для поиска дополнительных секретов, затем прикрепили недавно созданный ключ доступа к существующему пользователю, чтобы избежать обнаружения, после чего провели дальнейшую разведку и кражу данных.
TeamPCP ранее была замечена в атаках на цепочки поставок, нацеленных на различные платформы для разработчиков, такие как GitHub, PyPi, NPM и Docker.
Эта киберпреступная группировка также скомпрометировала пакет LiteLLM PyPI в ходе атаки, затронувшей десятки тысяч устройств, использующих их вредоносное ПО для кражи информации под названием “TeamPCP Cloud Stealer”.
Данные опубликованы в даркнете группировкой ShinyHunters
28 марта группа по вымогательству данных ShinyHunters опубликовала украденный набор данных на своем сайте утечек в даркнете в виде архива объемом 90 ГБ (около 340 ГБ в распакованном виде), содержащего имена, адреса электронной почты и содержимое переписки.
Анализ CERT-EU подтвердил, что злоумышленники похитили десятки тысяч файлов с личной информацией, именами пользователей, адресами электронной почты и содержимым писем, и что в результате утечки данных потенциально затронуты 42 внутренних клиента Еврокомиссии и как минимум 29 других структур Союза, использующих хостинг-сервис europa.eu.
“Злоумышленник использовал скомпрометированный секрет AWS для эксфильтрации данных из затронутой облачной среды. Эксфильтрованные данные относятся к веб-сайтам, размещенным для 71 клиента службы веб-хостинга Europa: 42 внутренних клиента Еврокомиссии и как минимум 29 других структур Союза”, — сообщила CERT-EU в четверг.
“Анализ опубликованного набора данных на данный момент подтвердил наличие личных данных, включая списки имен, фамилий, имен пользователей и адресов электронной почты, преимущественно с веб-сайтов Еврокомиссии, но потенциально относящихся к пользователям из различных структур Союза”, — добавили в ведомстве.
“Набор данных также содержит не менее 51 992 файлов, связанных с исходящими электронными сообщениями, общим объемом 2,22 ГБ. Большинство из них — автоматические уведомления с минимальным содержанием. Однако уведомления об ошибках доставки (‘bounce-back’), являющиеся ответами на входящие сообщения от пользователей, могут содержать исходный контент, предоставленный пользователем, что создает риск раскрытия личных данных”.
CERT-EU также сообщила, что в результате инцидента ни один веб-сайт не был отключен или изменен, и не было обнаружено горизонтального перемещения в другие учетные записи AWS Комиссии.
Хотя анализ эксфильтрованных баз данных и файлов продолжается и, вероятно, потребует “значительного времени”, Комиссия уведомила соответствующие органы по защите данных и находится в прямом контакте с затронутыми структурами.
В феврале Еврокомиссия сообщила о другой утечке данных после обнаружения взлома платформы управления мобильными устройствами, используемой для администрирования устройств персонала.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan