Кибератаката срещу облачната инфраструктура на Европейската комисия е дело на групата TeamPCP, съобщава CERT-EU.
Според анализа, пробивът е довел до изтичане на данни от поне 29 други институции в Европейския съюз, което го превръща в системен инцидент с междуинституционален обхват.
Как е започнала атаката: компрометиран AWS ключ
Атаката започва на 10 март, когато TeamPCP използва:
- Компрометиран API ключ за Amazon Web Services
- Административни права върху множество акаунти
Ключът е бил откраднат при предходна supply chain атака, свързана с: Trivy.
Това показва класически сценарий на верижна атака, при която една уязвимост води до мащабен пробив.
Ескалация и укриване: как атакуващите действат вътре в системата
След първоначалния достъп, атакуващите:
- Използват TruffleHog за откриване на допълнителни тайни
- Създават нов access ключ към съществуващ акаунт
- Провеждат разузнаване (reconnaissance)
- Извличат чувствителни данни
Техниката за добавяне на ключ към легитимен потребител е ключова за избягване на детекция.
Закъсняло откриване: критичен провал в мониторинга
Особено тревожен е фактът, че:
- Атаката започва на 10 март
- Засечена е едва на 24 март
- Това означава 5 дни без откриване на аномалии
Не са били регистрирани:
- Злоупотреба с API
- Компрометирани акаунти
- Подозрителен трафик
Това подчертава сериозни пропуски в системите за наблюдение и реакция.
Изтичането: десетки хиляди файлове и лични данни
Откраднатият набор от данни, публикуван от ShinyHunters, включва:
- Архив от около 90 GB (340 GB разархивиран)
- Над 51 000 файла с имейл комуникация
- Лични данни:
- Имена
- Потребителски имена
- Имейл адреси
Особен риск представляват bounce-back съобщения, съдържащи оригинално изпратено съдържание от потребители
Засегнати организации и обхват
Според CERT-EU:
- Засегнати са до 71 клиента на europa.eu
- Включително:
- 42 вътрешни структури на Комисията
- Поне 29 други институции в ЕС
Това превръща инцидента в един от най-значимите cloud пробиви в европейската администрация.
Aктивност на TeamPCP
Групата TeamPCP е свързвана и с атаки срещу:
- GitHub
- Docker
- PyPI
- NPM
Както и с компрометиране на пакета LiteLLM чрез инфостийлър малуер.
Kласическа supply chain атака с модерно изпълнение
1. Компрометирани ключове = пълен достъп
API ключовете с административни права остават една от най-опасните точки на риск.
2. Липса на видимост в облака
Дори мащабна активност може да остане незабелязана без адекватен мониторинг.
3. Междуинституционален ефект
Cloud инфраструктурата свързва множество организации – една атака засяга всички.
Какво следва
Европейската комисия вече:
- Уведомява органите по защита на данните
- Работи със засегнатите институции
- Продължава анализа на изтеклите данни
Важно уточнение:
- Няма данни за компрометирани уебсайтове
- Не е установено lateral movement към други AWS акаунти
Атаката срещу Европейската комисия показва колко опасни могат да бъдат supply chain компромиси в облачна среда.
Един компрометиран ключ може да отвори достъп до цяла екосистема от институции.
В ерата на cloud инфраструктурата, защитата вече не е само въпрос на периметър – тя изисква пълен контрол върху идентичности, ключове и зависимости.
