Крупная утечка в инфраструктуре Еврокомиссии началась с, казалось бы, обычного обновления инструмента. В итоге злоумышленники получили доступ к облачной среде и вынесли десятки гигабайт данных.
Инцидент затронул платформу europa.eu, которая работает в облаке Amazon Web Services. О проблеме стало известно 24 марта, когда служба кибербезопасности Еврокомиссии заметила странную активность: подозрительные вызовы программных интерфейсов Amazon, резкий рост сетевого трафика и признаки взлома учётной записи.
Разбор показал, что злоумышленники проникли через компрометацию цепочки поставок инструмента Trivy. Кампанию ранее связали с группировкой TeamPCP. Вредоносный код попал в обновление, которое организации получили обычным способом через стандартные каналы. Таким образом атакующие смогли украсть ключ доступа к облачной инфраструктуре.
Получив ключ, злоумышленники закрепились в системе: создали новый ключ доступа, провели разведку и начали искать другие секреты. Для этого использовали утилиту TruffleHog, которая проверяет учётные данные и находит скрытые ключи в системе.
Через скомпрометированную учётную запись атакующие выгрузили около 91,7 ГБ данных в сжатом виде. После распаковки объём достигает примерно 340 ГБ. В архиве оказались имена, адреса электронной почты и содержимое писем. Среди файлов есть почти 52 тысячи сообщений, в основном автоматические уведомления, однако часть ответных писем могла содержать текст, отправленный пользователями.
Утечка затронула не только саму Еврокомиссию. Платформа europa.eu обслуживает десятки сайтов. Под угрозой оказались данные 42 внутренних подразделений и как минимум 29 других структур Евросоюза.
28 марта группа ShinyHunters выложила похищенные данные в даркнете. В описании архива упоминаются дампы почтовых серверов, базы данных и конфиденциальные документы.
После обнаружения атаки Еврокомиссия оперативно закрыла доступ к скомпрометированной учётной записи и отключила все подозрительные ключи. Ведомство уведомило контролирующие органы по защите данных и начало напрямую связываться с пострадавшими организациями. Пока признаков дальнейшего распространения атаки внутри облачной инфраструктуры не нашли. Сайты продолжили работать без перебоев, вмешательства в их содержимое не зафиксировали.
