Eurospka komisija bila je meta kibernetičkog napada u kojem su napadači ukrali veliku količinu podataka s njezine cloud infrastrukture te ih kasnije objavili na dark webu. Početni pristup sustavima ostvaren je kompromitacijom alata otvorenog koda Trivy, što upućuje na napad na lanac opskrbe. Incident je javno potvrđen, a istraga je u tijeku, piše CERT-EU.

Kako je došlo do napada

CERT-EU je o incidentu obaviješten 25. ožujka, dan nakon što je Centar za kibernetičke operacije Europske komisije primijetio sumnjive aktivnosti. Upozorenja su ukazivala na moguću zlouporabu Amazonovog API-ja, kompromitaciju računa i neuobičajeno velik mrežni promet.

Istraga je pokazala da su napadači još 19. ožujka došli u posjed tajnog ključa za Amazon Web Services (AWS) putem kompromitacije lanca opskrbe alata Trivy. Taj je napad javno pripisan hakerskoj skupini TeamPCP. Koristeći ukradeni ključ, napadač je stvorio novi pristupni ključ kako bi izbjegao detekciju te je počeo s izviđanjem sustava. Europska komisija je, kako se navodi, nesvjesno koristila kompromitiranu verziju alata Trivy koju je preuzela putem redovnih kanala za ažuriranje.

Ukradeni podaci objavljeni na dark webu

Napadači su s kompromitiranog AWS računa uspjeli izvući značajnu količinu podataka, otprilike 91.7 GB u komprimiranom obliku. Dana 28. ožujka, skupina za iznudu podataka ShinyHunters objavila je ukradene podatke na svojoj stranici na dark webu. ShinyHunters su tvrdili da su ukrali "dumpove mail servera, baze podataka, povjerljive dokumente, ugovore i mnogo drugog osjetljivog materijala".

Analiza je dosad potvrdila da objavljeni podaci sadrže osobne informacije poput imena, prezimena, korisničkih imena i e-mail adresa. Skup podataka također sadrži najmanje 51.992 datoteke povezane s odlaznom e-mail komunikacijom, od kojih neke mogu sadržavati i osobne podatke korisnika. Analiza baza podataka povezanih s internetskim stranicama još je u tijeku.

Reakcija Europske komisije

Europska komisija odmah je reagirala opozivom prava kompromitiranog računa kako bi blokirala neovlašteni pristup. Svi kompromitirani pristupni ključevi su deaktivirani ili izbrisani. O incidentu su obaviješteni službenik Komisije za zaštitu podataka, kao i službenici potencijalno pogođenih tijela Unije te Europski nadzornik za zaštitu podataka (EDPS).

Iako je napadač stekao administratorska prava koja su mu mogla omogućiti daljnje širenje po sustavu, zasad nisu pronađeni dokazi o takvim aktivnostima. Komisija je 27. ožujka objavila priopćenje u kojem je potvrdila da njezini interni sustavi nisu pogođeni te da će nastaviti pratiti situaciju i poduzeti sve potrebne mjere kako bi osigurala sigurnost svojih sustava i podataka.

Pogođeno više desetaka tijela EU

Kompromitirani AWS račun dio je tehničke infrastrukture koja pokreće više internetskih stranica Europske komisije na domeni "europa.eu". Ukradeni podaci stoga se odnose na najmanje 71 klijenta te usluge web hostinga, uključujući 42 interna klijenta Europske komisije i najmanje 29 drugih tijela i agencija Unije.

Napadači nisu mijenjali niti rušili internetske stranice, a nisu zabilježeni ni prekidi u radu usluga. Europska komisija od 31. ožujka izravno komunicira s pogođenim klijentima kako bi ih informirala o incidentu i poduzetim mjerama. CERT-EU procjenjuje da porast broja napada na lanac opskrbe predstavlja značajnu prijetnju te snažno potiče sve organizacije da primijene sigurnosne preporuke kako bi se zaštitile od sličnih incidenata.