Agenția de securitate cibernetică a Uniunii Europene a publicat joi un raport detaliat în care atribuie responsabilitatea pentru breșa de securitate recentă, care a afectat organismul executiv al UE, grupului de criminalitate informatică cunoscut sub numele de TeamPCP. Acest atac cibernetic reprezintă una dintre cele mai semnificative încălcări ale securității datelor la nivelul instituțiilor europene din ultimii ani, generând îngrijorări majore cu privire la protecția infrastructurii critice a blocului comunitar.
Conform raportului emis de CERT-EU, agenția responsabilă cu securitatea cibernetică a instituțiilor UE, hackerii au reușit să sustragă aproximativ 92 de gigabytes de date comprimate din contul Amazon Web Services (AWS) compromis, utilizat de Comisia Europeană. Printre datele furate se numără informații personale sensibile, incluzând nume complete ale cetățenilor europeni, adrese de e-mail și conținutul integral al mesajelor electronice trimise către instituție.
Breșa de securitate a afectat infrastructura cloud a platformei Europa.eu, un serviciu esențial pe care statele membre îl utilizează pentru a găzdui site-uri web și publicații ale instituțiilor și agențiilor blocului comunitar. Această platformă reprezintă un element central al prezenței digitale a Uniunii Europene, servind milioane de cetățeni și organizații din întreaga comunitate.
CERT-EU a evidențiat în raportul său că datele a cel puțin 29 de alte entități europene ar fi putut fi compromise în urma acestui atac. În plus, zeci de clienți interni ai Comisiei Europene se numără printre potențialele victime ale acestei breșe masive de securitate, ceea ce sugerează un impact mult mai amplu decât estimările inițiale.
Un aspect deosebit de îngrijorător al acestui incident este modul în care datele furate au fost ulterior publicate online. După ce TeamPCP a extras informațiile sensibile, un alt grup de hackeri extrem de cunoscut în lumea criminalității cibernetice, ShinyHunters, a postat datele pe internet. Această colaborare între două grupuri distincte de infractori cibernetici ilustrează o tendință îngrijorătoare în ecosistemul criminalității informatice: cooperarea tot mai strânsă dintre diferitele grupări hacker pentru a-și maximiza profiturile din extorcarea victimelor.
Cercetătorii în securitate cibernetică de la CERT-EU au reconstituit cronologia atacului, dezvăluind că breșa a început efectiv pe 19 martie, când hackerii au obținut o cheie API secretă asociată contului AWS al Comisiei Europene. Această reușită a fost posibilă în urma unui atac anterior care a vizat instrumentul de securitate open-source Trivy.
Mecanismul prin care infractorii au pătruns în sistemele Comisiei Europene este un exemplu clasic de atac de tip supply chain (lanț de aprovizionare). Comisia Europeană a descărcat inadvertent o copie a instrumentului Trivy compromis, în urma breșei de securitate suferite de proiectul open-source. Această descărcare aparent inofensivă a oferit hackerilor accesul necesar pentru a fura cheia API secretă și pentru a utiliza acest acces în vederea obținerii datelor stocate în contul AWS al Comisiei.
În urma analizei efectuate de CERT-EU, specialiștii au identificat că aproximativ 52.000 de fișiere conțin mesaje e-mail expediate. Cu toate acestea, agenția a precizat că majoritatea acestor e-mailuri sunt mesaje automatizate cu conținut minim sau inexistent. O atenție deosebită este acordată e-mailurilor care au revenit la expeditor cu o eroare, deoarece acestea pot conține datele personale originale trimise de utilizatori, prezentând astfel un risc semnificativ de expunere a informațiilor personale.
Grupul TeamPCP nu este la primul său atac de acest tip. Conform informațiilor furnizate de Aqua Security, compania care dezvoltă instrumentul Trivy, TeamPCP a fost anterior asociat cu atacuri de tip ransomware și campanii de criptomining. Recent, acest grup de hackeri s-a concentrat pe o campanie sistematică de atacuri la nivelul lanțului de aprovizionare, compromițând alte proiecte de securitate open-source.
Experții de la Palo Alto Networks Unit 42 au explicat strategia utilizată de acești infractori: prin atacarea dezvoltatorilor care dețin chei de acces către sisteme sensibile, hackerii obțin posibilitatea de a ține organizațiile compromise ostatic, cerând plăți de extorcare substanțiale. Această metodă de atac a devenit din ce în ce mai populară în rândul grupurilor de criminalitate informatică, deoarece oferă randamente financiare considerabile.
Un purtător de cuvânt al Comisiei Europene a comunicat pentru TechCrunch că instituția va fi închisă până săptămâna viitoare și că va răspunde solicitărilor de comentarii în acel moment. Această întârziere în comunicarea oficială a alimentat și mai mult speculațiile cu privire la gravitatea situației.
Acest incident subliniază vulnerabilitățile inerente ale infrastructurilor digitale complexe și necesitatea stringenței în gestionarea cheilor de acces și a instrumentelor software utilizate de instituțiile publice. De asemenea, demonstrează că amenințările cibernetice moderne nu mai sunt acțiuni izolate ale unor actori individuali, ci operațiuni coordonate care implică colaborarea între multiple grupări criminale, fiecare aducând contribuții specifice la lanțul de exploatare a victimelor.
Agenția de securitate cibernetică a UE atribuie breșa masivă de date unor grupuri de hackeri, inclusiv TeamPCP și ShinyHunters
