Poverljive informacije EU procurele na ''dark web-u'': Izvučena zabrinjavajuća količina podataka, ugroženi i lični podaci - napadači došli do tajnog ključa pa napravili haos
Evropska komisija bila je meta velikog sajber napada u kojem je ukradeno gotovo 92 GB podataka, a deo materijala već je objavljen na dark webu.
Evropska komisija bila je meta ozbiljnog sajber napada u kojem su hakeri ukrali veliku količinu podataka iz njene cloud infrastrukture, a zatim ih objavili na dark webu. Početni pristup ostvaren je kompromitacijom open-source alata Trivy, što ukazuje na napad na lanac snabdevanja, potvrđeno je iz CERT-EU.
O incidentu je CERT-EU obavešten 25. marta, dan nakon što je Centar za sajber operacije Evropske komisije registrovao sumnjive aktivnosti. Uočeni su znaci zloupotrebe Amazon API-ja, kompromitovanih naloga i neuobičajeno velikog mrežnog saobraćaja.
Istragom je utvrđeno da su napadači još 19. marta došli do tajnog ključa za Amazon Web Services putem kompromitovanog Trivy alata, koji je Komisija preuzela kroz regularne kanale za ažuriranje. Napad se dovodi u vezu sa hakerskom grupom TeamPCP, koja je zatim generisala nove pristupne ključeve kako bi izbegla otkrivanje i započela izviđanje sistema.
Objavljeno skoro 92 GB podataka: Među njima i lične informacije
Sa kompromitovanog AWS naloga izvučeno je oko 91,7 GB podataka, koji su 28. marta objavljeni na dark webu od strane grupe ShinyHunters. Oni tvrde da su došli do ''dumpova mejl servera, baza podataka, poverljivih dokumenata, ugovora i drugih osetljivih materijala''.
Dosadašnja analiza pokazuje da objavljeni podaci sadrže lične informacije poput imena, prezimena, korisničkih naloga i e-mail adresa. Pronađeno je najmanje 51.992 fajla povezana sa odlaznom elektronskom poštom, dok je analiza baza podataka i dalje u toku.
Brza reakcija Komisije: Blokirani pristupi i obaveštene institucije
Evropska komisija je odmah reagovala – kompromitovani nalog je deaktiviran, a svi sporni pristupni ključevi su uklonjeni kako bi se sprečio dalji neovlašćeni pristup.
O incidentu su obavešteni nadležni za zaštitu podataka, kao i European Data Protection Supervisor i druge pogođene institucije.
Iako su napadači imali administratorska prava, za sada nema dokaza da su dodatno širili pristup unutar sistema. Komisija je 27. marta saopštila da njeni interni sistemi nisu direktno pogođeni, ali da će nastaviti sa nadzorom i dodatnim merama zaštite.
Pogođene desetine institucija EU
Kompromitovani AWS nalog bio je deo infrastrukture koja podržava više sajtova na domeni ''europa.eu'', pa se incident odnosi na najmanje 71 korisnika – uključujući 42 interna klijenta Komisije i još najmanje 29 evropskih institucija i agencija.
Ipak, nije došlo do obaranja sajtova niti prekida u radu sistema. Od 31. marta Evropska komisija direktno kontaktira pogođene korisnike kako bi ih informisala o situaciji.
CERT-EU upozorava da su napadi na lanac snabdevanja u porastu i predstavljaju ozbiljnu bezbednosnu pretnju, pozivajući organizacije da hitno unaprede svoje zaštitne mehanizme.
