CERT-EU potvrdio da su podaci 29 institucija EU završili na dark webu
Nedavni napad na AWS platformu Europske komisije rezultirao je krađom 91,7 GB komprimiranih podataka, uključujući osobne informacije korisnika, nakon kompromitacije alata Trivy
Centar za kibernetičku sigurnost institucija, tijela i agencija Europske unije (CERT-EU) objavio je detalje o značajnom sigurnosnom incidentu koji je pogodio javnu internetsku platformu Europske komisije na stranici europa.eu, a o kojem se dosad nije znalo mnogo. Incident je, kažu, prvi put uočen 24. ožujka, kada je Operativni centar za kibernetičku sigurnost Europske komisije zabilježio sumnjive aktivnosti unutar Amazon Web Services (AWS) infrastrukture. Analiza je pokazala neobičan porast mrežnog prometa i potencijalnu zlouporabu Amazonovih API sučelja, pa je dan kasnije o svemu obaviješten CERT-EU.
Napadnut – sigurnosni alat
Njihova je istraga otkrila da je početni pristup sustavu ostvaren još 19. ožujka putem kompromitacije opskrbnog lanca softvera Trivy. Napadači, identificirani kao hakerska skupina TeamPCP, iskoristili su ranjivost u verziji softvera koju je Komisija primila kroz redovite kanale za ažuriranje. Domogavši se API ključa, napadači su upotrijebili alate za skeniranje i validaciju daljnjih vjerodajnica unutar AWS okruženja, nastojeći proširiti svoj pristup bez privlačenja pažnje sigurnosnih sustava. Ironično, softver Trivy, koji je ovdje poslužio kao vektor napada, inače je sigurnosni alat otvorenog koda namijenjen skeniranju ranjivosti.
Tijekom upada, napadači su uspjeli ukrasti približno 91,7 GB komprimiranih podataka, što u nekomprimiranom obliku iznosi oko 340 GB. Ukradeni set podataka obuhvaća informacije povezane s uslugom hostinga stranice europa.eu, kojom se koriste 42 interna klijenta Europske komisije i najmanje 29 ostalih tijela i agencija Europske unije. Skupina za iznudu podataka poznata pod nazivom ShinyHunters objavila je 28. ožujka ukradeni materijal na svojim stranicama na dark webu, tvrdeći da posjeduje baze podataka, povjerljive dokumente i ugovore.
Analiza objavljenog sadržaja potvrdila je prisutnost osobnih podataka, uključujući imena, korisnička imena i adrese e-pošte. Posebno su osjetljive automatske obavijesti o neisporučenim porukama (bounce-back), koje mogu sadržavati izvorni sadržaj komunikacije korisnika prema institucijama. Iako su baze podataka još uvijek pod detaljnom istragom zbog svoje složenosti, potvrđeno je da je izloženo i više od 51.000 datoteka povezanih s odlaznom e-poštom.
Zaštitne mjere
Europska komisija i CERT-EU reagirali su prekidom svih nelegitimnih pristupa i deaktivacijom kompromitiranih pristupnih ključeva. O incidentu su odmah obaviješteni Europski nadzornik za zaštitu podataka te službenici za zaštitu podataka u pogođenim institucijama. Unatoč ozbiljnosti proboja, službeni izvori potvrđuju da unutarnji sustavi Komisije nisu bili zahvaćeni, niti je došlo do prekida u radu javnih web stranica ili neovlaštenih izmjena njihovog sadržaja.
Od 31. ožujka započela je izravna komunikacija s pogođenim klijentima usluge hostinga kako bi ih se informiralo o razmjerima štete i poduzetim koracima. Iako su napadači stekli određena upravljačka prava, dosadašnja istraga nije pronašla dokaze o njihovom lateralnom kretanju prema ostalim AWS računima Europske komisije. CERT-EU poručuje da nastavlja pratiti situaciju, naglašavajući da porast napada kroz opskrbni lanac predstavlja kritičnu prijetnju za sve organizacije u Uniji.
