Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Устали от спама и фишинга?

Вредоносные письма просто не дойдут до ваших пользователей — мы позаботились об этом.
Онлайн-трансляция — 9 апреля в 15:00 — присоединяйтесь.

Хватило обычного обновления. Обычная проверка безопасности обернулась для Европы гигантским сливом данных

leer en español

Еврокомиссия ShinyHunters AWS утечка данных Trivy TeamPCP
Хватило обычного обновления. Обычная проверка безопасности обернулась для Европы гигантским сливом данных
Еврокомиссия ShinyHunters AWS утечка данных Trivy TeamPCP

Группа ShinyHunters выставила на продажу архив с перепиской сотрудников ведомств Евросоюза.

image

Крупная утечка в инфраструктуре Еврокомиссии началась с, казалось бы, обычного обновления инструмента. В итоге злоумышленники получили доступ к облачной среде и вынесли десятки гигабайт данных.

Инцидент затронул платформу europa.eu, которая работает в облаке Amazon Web Services. О проблеме стало известно 24 марта, когда служба кибербезопасности Еврокомиссии заметила странную активность: подозрительные вызовы программных интерфейсов Amazon, резкий рост сетевого трафика и признаки взлома учётной записи.

Разбор показал, что злоумышленники проникли через компрометацию цепочки поставок инструмента Trivy. Кампанию ранее связали с группировкой TeamPCP. Вредоносный код попал в обновление, которое организации получили обычным способом через стандартные каналы. Таким образом атакующие смогли украсть ключ доступа к облачной инфраструктуре.

Получив ключ, злоумышленники закрепились в системе: создали новый ключ доступа, провели разведку и начали искать другие секреты. Для этого использовали утилиту TruffleHog, которая проверяет учётные данные и находит скрытые ключи в системе.

Через скомпрометированную учётную запись атакующие выгрузили около 91,7 ГБ данных в сжатом виде. После распаковки объём достигает примерно 340 ГБ. В архиве оказались имена, адреса электронной почты и содержимое писем. Среди файлов есть почти 52 тысячи сообщений, в основном автоматические уведомления, однако часть ответных писем могла содержать текст, отправленный пользователями.

Утечка затронула не только саму Еврокомиссию. Платформа europa.eu обслуживает десятки сайтов. Под угрозой оказались данные 42 внутренних подразделений и как минимум 29 других структур Евросоюза.

28 марта группа ShinyHunters выложила похищенные данные в даркнете. В описании архива упоминаются дампы почтовых серверов, базы данных и конфиденциальные документы.

После обнаружения атаки Еврокомиссия оперативно закрыла доступ к скомпрометированной учётной записи и отключила все подозрительные ключи. Ведомство уведомило контролирующие органы по защите данных и начало напрямую связываться с пострадавшими организациями. Пока признаков дальнейшего распространения атаки внутри облачной инфраструктуры не нашли. Сайты продолжили работать без перебоев, вмешательства в их содержимое не зафиксировали.