В новом отчете CERT-EU также сообщила, что хакеры похитили около 92 гигабайт сжатых данных из скомпрометированной учетной записи Amazon Web Services (AWS), используемой исполнительным органом блока, Европейской комиссией. Среди похищенного были личные данные, включая имена, адреса электронной почты и содержимое писем.
Взлом затронул облачную инфраструктуру платформы Europa.eu Комиссии, которую страны-члены используют для размещения веб-сайтов и публикаций институтов и агентств блока.
CERT-EU сообщила, что могут быть затронуты данные как минимум 29 других структур ЕС, а также могли быть похищены данные десятков внутренних клиентов Европейской комиссии.
Похищенные данные затем были опубликованы в сети другой хакерской группой, печально известной ShinyHunters.
Хотя сам масштаб утечки данных является примечательным, взлом и последующая утечка данных Европейской комиссии двумя разными хакерскими группами подчеркивает растущую тенденцию сотрудничества киберпреступников для вымогательства у своих жертв.
CERT-EU заявила, что взлом произошел 19 марта, когда хакеры получили секретный API-ключ, связанный с учетной записью AWS Европейской комиссии, после предыдущего взлома, нацеленного на инструмент безопасности с открытым исходным кодом Trivy. Комиссия непреднамеренно загрузила копию скомпрометированного инструмента Trivy после недавнего взлома проекта, что позволило хакерам похитить его секретный API-ключ и использовать этот доступ для получения данных, хранящихся в учетной записи AWS Комиссии.
Хотя сервис сообщил, что все еще анализирует данные, опубликованные в сети, почти 52 000 файлов содержат отправленные электронные письма. CERT-EU заявила, что большинство этих писем являются автоматическими, с минимальным содержанием или без него, но письма, которые вернулись с ошибкой, «могут содержать исходный контент, предоставленный пользователем, что создает риск раскрытия личных данных».
CERT-EU сообщила, что уже контактирует с пострадавшими организациями.
Представитель Европейской комиссии сообщил TechCrunch, что ведомство закрыто до следующей недели и ответит на запрос о комментарии позже.
Член ShinyHunters не ответил на запросы о комментарии.
Помимо взлома Trivy, TeamPCP связана с атаками программ-вымогателей и кампаниями по криптомайнингу, сообщает Aqua Security, разработчик Trivy. По данным Palo Alto Networks Unit 42, в последнее время хакеры стоят за систематической кампанией атак на цепочки поставок, компрометирующих другие проекты безопасности с открытым исходным кодом.
Нацеливаясь на разработчиков с ключами доступа к конфиденциальным системам, хакеры «затем получают возможность шантажировать скомпрометированные организации, требуя выкуп», — пишет Unit 42.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
