Європейське агентство з кібербезпеки звинувачує хакерські угруповання у масовому витоку даних
Агентство Європейського Союзу з кібербезпеки заявило, що нещодавній злом та витік даних у виконавчому органі ЄС були справою кіберзлочинної групи, відомої як TeamPCP.
У новому звіті CERT-EU також повідомив, що хакери викрали близько 92 гігабайт стиснутих даних зі скомпрометованого облікового запису Amazon Web Services (AWS), що використовується виконавчим органом блоку, Європейською комісією, включаючи персональні дані, такі як імена, адреси електронної пошти та вміст електронних листів.
Витік даних вплинув на хмарну інфраструктуру платформи Europa.eu Комісії, яку держави-члени використовують для розміщення веб-сайтів та публікацій установ та агентств блоку.
CERT-EU написав, що дані щонайменше 29 інших організацій ЄС можуть бути пошкоджені, а також що десятки внутрішніх клієнтів Європейської Комісії також могли постраждати від викрадення даних.
Викрадені дані потім опублікувала в інтернеті інша хакерська група, сумнозвісна ShinyHunters.
Хоча масштаб витоку даних сам по собі є помітним, те, що кіберагентство звинувачує дві окремі хакерські групи в одному й тому ж інциденті, є незвичним. Член ShinyHunters розповів TechCrunch в онлайн-чаті, що вони вкрали деякі дані, які TeamPCP раніше отримав під час попередніх атак, а потім оприлюднили їх.
Зв'язатися з TeamPCP для отримання коментарів не вдалося.
CERT-EU заявив, що порушення сталося 19 березня, коли хакери отримали секретний ключ API, пов'язаний з обліковим записом AWS Європейської комісії, після попередньої атаки, спрямованої на інструмент безпеки з відкритим кодом Trivy . Комісія ненавмисно завантажила копію скомпрометованого інструменту Trivy після нещодавнього порушення проекту, що дозволило хакерам викрасти його секретний ключ API та використати цей доступ для отримання даних, що зберігаються в обліковому записі AWS Комісії.
Хоча служба заявила, що все ще аналізує дані, опубліковані в Інтернеті, близько 52 000 файлів містять надіслані електронні листи. CERT-EU зазначив, що більшість цих листів є автоматизованими та мають мало або взагалі не містять контенту, але листи, які повернулися з помилкою, «можуть містити оригінальний контент, надісланий користувачем, що створює ризик витоку персональних даних».
CERT-EU заявив, що вже зв'язався з постраждалими організаціями.
Речник Європейської комісії повідомив TechCrunch, що орган закритий до наступного тижня, і тоді відповість на запит про коментар.
Окрім порушення безпеки Trivy, TeamPCP пов'язують з атаками програм-вимагачів та кампаніями з криптовалютного майнінгу, повідомляє Aqua Security , яка розробляє Trivy. За даними Palo Alto Networks Unit 42 , хакери нещодавно стояли за систематичною кампанією атак на ланцюги поставок, що поставила під загрозу інші проекти безпеки з відкритим кодом.
Викрадаючи у розробників ключі для доступу до конфіденційних систем, хакери «потім мають можливість вимагати викуп від скомпрометованих організацій», – пише Unit 42.