Evropska komisija je bila meta sajber napada u kojem su napadači ukrali veliku količinu podataka iz njene cloud infrastrukture i kasnije ih objavili na dark webu.
Početni pristup sistemima je dobijen kompromitacijom alata otvorenog koda Trivy, što ukazuje na napad na lanac snabdijevanja. Incident je javno potvrđen i istraga je u toku, piše CERT-EU .
Kako se napad dogodio
CERT-EU je obaviješten o incidentu 25. marta, dan nakon što je Centar za sajber operacije Evropske komisije primijetio sumnjivu aktivnost. Upozorenja su ukazivala na moguću zloupotrebu Amazonovog API-ja, kompromitovane račune i neuobičajeno visok mrežni promet.
Istraga je otkrila da su 19. marta napadači dobili tajni ključ za Amazon Web Services (AWS) kompromitovanjem lanca snabdijevanja alata Trivy. Napad je javno pripisan hakerskoj grupi TeamPCP. Koristeći ukradeni ključ, napadač je kreirao novi pristupni ključ kako bi izbjegao otkrivanje i započeo izviđanje sistema. Evropska komisija je navodno nesvjesno koristila kompromitovanu verziju alata Trivy koju je preuzela putem redovnih kanala za ažuriranje.
Ukradeni podaci objavljeni na dark webu
Napadači su uspjeli izvući značajnu količinu podataka iz kompromitovanog AWS računa, približno 91,7 GB u komprimiranom obliku. Grupa za iznudu podataka ShinyHunters objavila je 28. marta ukradene podatke na svojoj dark web stranici. ShinyHunters je tvrdio da je ukrao "ispise podataka mail servera, baze podataka, povjerljive dokumente, ugovore i mnoge druge osjetljive materijale".
Analiza je do sada potvrdila da objavljeni podaci sadrže lične podatke kao što su imena, prezimena, korisnička imena i adrese e-pošte. Skup podataka također sadrži najmanje 51.992 datoteke povezane s odlaznom komunikacijom putem e-pošte, od kojih neke mogu sadržavati lične podatke korisnika. Analiza baza podataka povezanih s web stranicama je još uvijek u toku.
Reakcija Evropske komisije
Evropska komisija je odmah reagovala opozivom prava kompromitovanog računa da blokira neovlašteni pristup. Svi kompromitovani ključevi za pristup su deaktivirani ili izbrisani. Službenik za zaštitu podataka Komisije, kao i službenici potencijalno pogođenih tijela Unije i Evropski nadzornik za zaštitu podataka (EDPS) su obaviješteni o incidentu.
Iako je napadač dobio administratorska prava koja su mu mogla omogućiti dalje širenje po sistemu, do sada nisu pronađeni dokazi o takvoj aktivnosti. Komisija je 27. marta izdala saopštenje u kojem potvrđuje da njeni interni sistemi nisu pogođeni i da će nastaviti pratiti situaciju i preduzeti sve potrebne mjere kako bi osigurala sigurnost svojih sistema i podataka.
Desetine tijela EU pogođene
Kompromitovani AWS račun dio je tehničke infrastrukture koja pokreće više web stranica Evropske komisije na domeni "europa.eu". Ukradeni podaci se stoga odnose na najmanje 71 klijenta i usluge web hostinga, uključujući 42 interna klijenta Evropske komisije i najmanje 29 drugih tijela i agencija Unije.
Napadači nisu mijenjali niti oštećivali web stranice, niti je bilo prekida u pružanju usluga. Evropska komisija od 31. marta direktno komunicira s pogođenim korisnicima kako bi ih obavijestila o incidentu i poduzetim mjerama. CERT-EU procjenjuje da porast napada na lanac snabdijevanja predstavlja značajnu prijetnju i snažno potiče sve organizacije da implementiraju sigurnosne preporuke kako bi se zaštitile od sličnih incidenata.
