Европейское агентство по кибербезопасности подтвердило, что недавняя масштабная утечка и взлом данных в органах Европейской комиссии произошли в результате действий хакерской группировки TeamPCP.
Об этом сообщает ProIT
Детали атаки на инфраструктуру Европейской комиссии
По информации CERT-EU, хакеры украли около 92 гигабайтов сжатых данных из скомпрометированного аккаунта Amazon Web Services (AWS), который использует Европейская комиссия. Среди украденной информации — личные данные, включая имена, электронные адреса и содержание электронных писем.
Инцидент произошел на облачной инфраструктуре платформы Europa.eu, которую страны-члены ЕС используют для размещения сайтов и публикаций учреждений и агентств Европейского союза. CERT-EU сообщила, что под угрозой оказались данные как минимум 29 других организаций ЕС, а также десятки внутренних клиентов Европейской комиссии, чьи данные могли быть украдены во время атаки.
Утечка данных, сотрудничество хакерских групп и последствия
Украденную информацию впоследствии обнародовала известная хакерская группировка ShinyHunters. Такое сотрудничество между различными киберпреступными группами стало ярким примером растущей тенденции совместных атак с целью получения выкупа.
“CERT-EU отметила, что нарушение произошло 19 марта, когда хакеры получили секретный API-ключ, связанный с AWS-аккаунтом Европейской комиссии, после предварительного взлома открытого инструмента безопасности Trivy. Комиссия случайно загрузила копию скомпрометированного инструмента Trivy, что позволило злоумышленникам получить секретный ключ и воспользоваться доступом для завладения данными из AWS-аккаунта Европейской комиссии”.
По оценке CERT-EU, в настоящее время анализируется опубликованная информация, среди которой содержится почти 52 тысячи файлов с отправленными электронными письмами. Хотя большинство из них — это автоматизированные сообщения с минимальным содержанием, однако письма, которые вернулись с ошибками, “могут содержать оригинальное содержание, отправленное пользователем, что несет риск раскрытия персональных данных”.
CERT-EU уже контактирует с организациями, которых коснулась атака. Представитель Европейской комиссии отметил, что учреждение временно не работает до следующей недели, после чего предоставит комментарий.
Как сообщает Aqua Security, помимо атаки на Trivy, TeamPCP также причастна к кампаниям с использованием программ-вымогателей и незаконного майнинга криптовалюты. По информации Palo Alto Networks Unit 42, хакеры в последнее время систематически атакуют цепочки поставок, компрометируя другие open source-проекты безопасности. Получив доступ к ключам разработчиков, злоумышленники “получают возможность шантажировать пострадавшие организации и требовать выкуп”.