Grupări de hackeri cooperează într-un atac major asupra infrastructurii cloud a Comisiei Europene, cu 92 GB de date furate și publicate online

Agenția Uniunii Europene pentru securitate cibernetică a anunțat joi că un atac informatic recent și o breșă de date la nivelul executivului UE au fost opera unui grup de criminalitate cibernetică cunoscut sub numele de TeamPCP.

Într-un nou raport, CERT-EU a precizat că hackerii au sustras aproximativ 92 de gigabaiți de date comprimate dintr-un cont Amazon Web Services (AWS) compromis, folosit de executivul blocului comunitar, Comisia Europeană, care includea date cu caracter personal precum nume, adrese de email și conținutul mesajelor electronice.

Breșa a afectat infrastructura cloud a platformei Europa.eu a Comisiei, folosită de statele membre pentru găzduirea site-urilor și publicațiilor instituțiilor și agențiilor blocului european.

CERT-EU a menționat că datele a cel puțin 29 de alte entități ale UE ar putea fi afectate, iar zeci de clienți interni ai Comisiei Europene ar fi putut, de asemenea, să aibă date sustrase.

Datele furate au fost ulterior publicate online de un alt grup de hackeri, cunoscut sub numele de ShinyHunters.

Dimensiunea acestei breșe de date este importantă. Însă atacul și scurgerea ulterioară a datelor Comisiei Europene, efectuate de două grupuri diferite de hackeri, subliniază și mai clar o tendință tot mai evidentă: grupările de criminalitate cibernetică cooperează pentru a-și șantaja mai eficient victimele.

CERT-EU a explicat că breșa își are originea la 19 martie, când atacatorii au obținut o cheie API secretă asociată contului AWS al Comisiei Europene, în urma unui atac anterior ce a vizat instrumentul open source de securitate Trivy. După compromiterea proiectului Trivy, Comisia a descărcat din greșeală o versiune infectată a acestui instrument, fapt ce le-a permis hackerilor să fure cheia API secretă și să folosească acest acces pentru a se deplasa lateral și a obține datele stocate în contul AWS al Comisiei.

Serviciul a precizat că analizează încă datele publicate online. Aproape 52.000 de fișiere conțin mesaje de email trimise. CERT-EU a menționat că majoritatea acestor emailuri sunt automate, cu conținut puțin sau inexistent, însă mesajele returnate cu eroare „pot conține conținutul original trimis de utilizator, reprezentând un risc de expunere a datelor cu caracter personal”.

CERT-EU a mai anunțat că este deja în contact cu organizațiile afectate.

Un purtător de cuvânt al Comisiei Europene a transmis că instituția este închisă până săptămâna viitoare și va răspunde atunci solicitărilor de comentarii. Un reprezentant al ShinyHunters nu a răspuns solicitărilor de comentariu.

Dincolo de compromiterea Trivy, TeamPCP a fost asociat cu atacuri de tip ransomware și campanii de cripto-minare, potrivit companiei Aqua Security, care dezvoltă Trivy. Mai recent, hackerii s-au aflat în spatele unei campanii sistematice de atacuri asupra lanțului de aprovizionare, prin care au compromis și alte proiecte open source de securitate, conform Unit 42 din cadrul Palo Alto Networks.

Prin vizarea dezvoltatorilor care dețin chei de acces la sisteme sensibile, hackerii „au apoi capacitatea de a ține organizațiile compromise ostatice, solicitând plăți de extorcare drept răscumpărare”.