Skip to content
Европската комисија беше цел на кибернапад во кој напаѓачите украдоа голема количина на податоци од нејзината облачна инфраструктура, а подоцна ги објавија на темната мрежа. Првичниот пристап до системите беше остварен преку компромитирање на алатката со отворен код Trivy, што укажува на напад врз синџирот на снабдување. Инцидентот е јавно потврден и истрагата е во тек, пишува CERT-EU .
Како се случил нападот
CERT-EU беше известен за инцидентот на 25 март, еден ден откако Центарот за сајбер операции на Европската комисија забележа сомнителна активност. Предупредувањата укажуваа на можна злоупотреба на API-то на Amazon, компромитирани сметки и невообичаено висок мрежен сообраќај.
Истрагата откри дека на 19 март, напаѓачите добиле таен клуч за Amazon Web Services (AWS) преку компромитирање на синџирот на снабдување со алатки Trivy. Нападот јавно ѝ беше припишан на хакерската група TeamPCP. Користејќи го украдениот клуч, напаѓачот создал нов клуч за пристап за да избегне откривање и започнал со извидување на системот. Според извештаите, Европската комисија несвесно користела компромитирана верзија на алатката Trivy што ја преземала преку редовни канали за ажурирање.
Украдени податоци објавени на темната мрежа
Напаѓачите успеале да извлечат значителна количина на податоци од компромитираната сметка на AWS, приближно 91,7 GB во компресирана форма. На 28 март, групата за изнудување податоци ShinyHunters ги објави украдените податоци на својата темна веб-страница. ShinyHunters тврдеше дека украле „дампови од поштенски сервери, бази на податоци, доверливи документи, договори и многу други чувствителни материјали“.
Досегашната анализа потврди дека објавените податоци содржат лични информации како што се имиња, презимиња, кориснички имиња и е-адреси. Збирката податоци, исто така, содржи најмалку 51.992 датотеки поврзани со испратени е-пораки, од кои некои може да содржат лични податоци на корисниците. Анализата на базите на податоци поврзани со веб-страниците е сè уште во тек.
Реакција на Европската комисија
Европската комисија веднаш реагираше со одземање на правата на компромитираната сметка да блокира неовластен пристап. Сите компромитирани клучеви за пристап беа деактивирани или избришани. За инцидентот беа информирани службеникот за заштита на податоци на Комисијата, како и службениците на потенцијално засегнатите тела на Унијата и Европскиот супервизор за заштита на податоци (EDPS).
Иако напаѓачот добил административни права што можеле да му овозможат понатамошно ширење низ системот, досега не се пронајдени докази за таква активност. Комисијата издаде соопштение на 27 март во кое потврдува дека нејзините внатрешни системи не се засегнати и дека ќе продолжи да ја следи ситуацијата и да ги презема сите потребни мерки за да ја обезбеди безбедноста на своите системи и податоци.
Десетици тела на ЕУ се погодени
Компромитираната сметка на AWS е дел од техничката инфраструктура што ги напојува повеќе веб-страници на Европската комисија на доменот „europa.eu“. Затоа, украдените податоци се однесуваат на најмалку 71 клиент и услуги за веб-хостинг, вклучувајќи 42 внатрешни клиенти на Европската комисија и најмалку 29 други тела и агенции на Унијата.
Напаѓачите не ги измениле или оштетиле веб-страниците и немало прекини во услугата. Европската комисија комуницира директно со засегнатите клиенти од 31 март за да ги информира за инцидентот и преземените мерки. CERT-EU оценува дека зголемувањето на нападите во синџирот на снабдување претставува значителна закана и силно ги охрабрува сите организации да ги спроведат безбедносните препораки за да се заштитат од слични инциденти.