Поверљиве информације ЕУ процуреле на ''дарк web-u'': Извучена забрињавајућа количина података, угрожени и лични подаци - нападачи дошли до тајног кључа па направили хаос

Европска комисија била је мета озбиљног сајбер напада у којем су хакери украли велику количину података из њене cloud инфраструктуре, а затим их објавили на дарк webu. Почетни приступ остварен је компромитацијом опен-соурце алата Trivy, што указује на напад на ланац снабдевања, потврђено је из ЦЕРТ-ЕУ.

О инциденту је ЦЕРТ-ЕУ обавештен 25. марта, дан након што је Центар за сајбер операције Европске комисије регистровао сумњиве активности. Уочени су знаци злоупотребе Амазон АПИ-ја, компромитованих налога и неуобичајено великог мрежног саобраћаја.

Истрагом је утврђено да су нападачи још 19. марта дошли до тајног кључа за Амазон Web Сервицес путем компромитованог Trivy алата, који је Комисија преузела кроз регуларне канале за ажурирање. Напад се доводи у везу са хакерском групом ТеамПЦП, која је затим генерисала нове приступне кључеве како би избегла откривање и започела извиђање система.

Објављено скоро 92 ГБ података: Међу њима и личне информације

Са компромитованог AWS налога извучено је око 91,7 ГБ података, који су 28. марта објављени на дарк webu од стране групе ShinyHunters. Они тврде да су дошли до ''думпова мејл сервера, база података, поверљивих докумената, уговора и других осетљивих материјала''.

Досадашња анализа показује да објављени подаци садрже личне информације попут имена, презимена, корисничких налога и e-mail адреса. Пронађено је најмање 51.992 фајла повезана са одлазном електронском поштом, док је анализа база података и даље у току.

Брза реакција Комисије: Блокирани приступи и обавештене институције

Европска комисија је одмах реаговала – компромитовани налог је деактивиран, а сви спорни приступни кључеви су уклоњени како би се спречио даљи неовлашћени приступ.

О инциденту су обавештени надлежни за заштиту података, као и Еуропеан Дата Протецтион Супервисор и друге погођене институције.

Иако су нападачи имали администраторска права, за сада нема доказа да су додатно ширили приступ унутар система. Комисија је 27. марта саопштила да њени интерни системи нису директно погођени, али да ће наставити са надзором и додатним мерама заштите.

Погођене десетине институција ЕУ

Компромитовани AWS налог био је део инфраструктуре која подржава више сајтова на домени ''еуропа.еу'', па се инцидент односи на најмање 71 корисника – укључујући 42 интерна клијента Комисије и још најмање 29 европских институција и агенција.

Ипак, није дошло до обарања сајтова нити прекида у раду система. Од 31. марта Европска комисија директно контактира погођене кориснике како би их информисала о ситуацији.

ЦЕРТ-ЕУ упозорава да су напади на ланац снабдевања у порасту и представљају озбиљну безбедносну претњу, позивајући организације да хитно унапреде своје заштитне механизме.