Dat heeft het cyberveiligheidsagentschap van de EU donderdag gezegd een recente hack en datalek bij het uitvoerend orgaan van de EU was het werk van een cybercriminele groep die bekend staat als TeamPCP.
In één nieuw rapportCERT-EU meldde ook dat de hackers ongeveer 92 gigabyte aan gecomprimeerde gegevens hadden gestolen van een gecompromitteerd Amazon Web Services (AWS)-account dat werd gebruikt door de uitvoerende macht van het blok, de Europese Commissie, en dat persoonlijke gegevens bevatte, waaronder namen, e-mailadressen en de inhoud van e-mails.
De inbreuk trof de cloudinfrastructuur van het Europa.eu-platform van de Commissie, dat de lidstaten gebruiken om websites en publicaties voor de instellingen en agentschappen van het blok te hosten.
CERT-EU schreef dat gegevens van ten minste 29 andere EU-entiteiten mogelijk getroffen zijn, en dat de gegevens van tientallen interne klanten van de Europese Commissie ook gestolen zouden kunnen zijn.
De gestolen gegevens werden vervolgens online geplaatst door een andere hackgroep, de beruchte ShinyHunters.
Hoewel de omvang van het datalek op zichzelf opmerkelijk is, benadrukt de hack en het daaropvolgende lekken van gegevens van de Europese Commissie door twee afzonderlijke hackergroepen een groeiende trend waarin cybercriminelen samenwerken om hun slachtoffers te chanteren.
CERT-EU zei dat de inbreuk plaatsvond op 19 maart toen hackers een geheime API-sleutel verkregen die was gekoppeld aan het AWS-account van de Europese Commissie, na een eerdere hack-targeting. open source beveiligingstool Trivy. De Commissie heeft na de recente inbreuk op het project per ongeluk een kopie van de gecompromitteerde Trivy-tool gedownload, waardoor de hackers de geheime API-sleutel konden stelen en die toegang tot de pivot konden gebruiken om gegevens op te halen die waren opgeslagen in het AWS-account van de Commissie.
Hoewel de dienst zegt nog steeds bezig te zijn met het analyseren van de online gepubliceerde gegevens, bevatten bijna 52.000 bestanden verzonden e-mailberichten. CERT-EU zei dat de meerderheid van deze e-mails geautomatiseerd zijn en weinig of geen inhoud hebben, maar dat e-mails die met een fout terugkwamen “de originele, door de gebruiker ingediende inhoud kunnen bevatten, wat een risico met zich meebrengt dat persoonlijke gegevens worden blootgesteld.”
CERT-EU zegt al contact te hebben met getroffen organisaties.
Neem contact met ons op
Heeft u meer informatie over deze inbreuk? Of andere cyberaanvallen? Neem vanaf een apparaat dat niet werkt veilig contact op met Lorenzo Franceschi-Bicchierai via Signal op +1 917 257 1382 of via Telegram en Keybase @lorenzofb, of e-mail.
Een woordvoerder van de Europese Commissie vertelde TechCrunch dat het orgaan tot volgende week gesloten is en daarna zal reageren op een verzoek om commentaar.
Een lid van ShinyHunters reageerde niet op verzoeken om commentaar.
Naast het Trivy-strand is TeamPCP in verband gebracht met ransomware-aanvallen en cryptomining-campagnes. zegt AquaSecuritydie Trivy ontwikkelt. De hackers hebben onlangs achter een systematische campagne van supply chain-aanvallen gezeten die andere open source-beveiligingsprojecten in gevaar brengen. volgens Palo Alto Networks Unit 42.
Door zich te richten op ontwikkelaars met sleutels om toegang te krijgen tot gevoelige systemen, hebben de hackers “vervolgens de mogelijkheid om gecompromitteerde organisaties te laten losgeld vragen en afpersingsbetalingen te eisen”, schreef Unit 42.
