Девять часов паники в Брюсселе. Рассказываем, как неизвестные атаковали смартфоны сотрудников Еврокомиссии
Масштабный взлом ПО Ivanti затронул госорганы ЕС, Нидерландов и Финляндии.
Еврокомиссия сообщила о кибератаке на систему, которая управляет служебными мобильными устройствами сотрудников. Следы взлома нашли в центральной платформе администрирования, но сами телефоны, по данным проверки, злоумышленники не захватили.
О факте атаки стало известно 6 февраля после внутреннего расследования. В инфраструктуре управления мобильными устройствами обнаружили признаки несанкционированного доступа. По оценке комиссии, посторонние могли получить часть персональных данных сотрудников, в том числе имена и номера телефонов. При этом признаков заражения или перехвата самих устройств специалисты не выявили.
Ведомство заявило, что обнаружило атаку 30 января. После этого службы реагирования оперативно изолировали инцидент и очистили систему. На устранение последствий ушло около девяти часов. В официальном сообщении подчёркивается, что компрометации мобильных устройств не зафиксировано.
Инцидент произошёл вскоре после того, как Еврокомиссия представила новый пакет законодательных инициатив по усилению киберзащиты критически важной инфраструктуры от государственных хакерских групп и киберпреступников. Детали способа проникновения в систему пока не раскрываются. По ряду признаков атака может быть связана с уязвимостями в программном комплексе управления мобильными устройствами Ivanti EPMM, который используется во многих государственных и корпоративных структурах.
Похожие взломы почти одновременно подтвердили нидерландский регулятор по защите данных и Совет по судебной системе Нидерландов. Они сообщили парламенту, что злоумышленники использовали те же уязвимости и получили доступ к рабочим данным сотрудников, включая имена, служебные адреса электронной почты и телефонные номера. Национальный центр кибербезопасности Нидерландов получил уведомление о проблемах в этом программном обеспечении от поставщика 29 января.
О взломе также объявило финское государственное агентство ИКТ-услуг, подведомственное министерству финансов. По его оценке, инцидент может затронуть до 50 000 пользователей общих государственных цифровых сервисов. В этом случае была использована уязвимость нулевого дня в службе управления мобильными устройствами.
Компания Ivanti 29 января предупредила клиентов о двух критических уязвимостях в системе EPMM с идентификаторами CVE-2026-1281 и CVE-2026-1340. Речь идёт об ошибках внедрения кода, которые позволяют удалённо выполнять произвольные команды на не обновлённых серверах без прохождения проверки подлинности. По данным Shadowserver, уже обнаружено более 50 серверов Ivanti EPMM, которые, вероятно, были скомпрометированы при таких атаках.