Hack přes Trivy zasáhl Evropskou komisi. Útočníci odnesli data z AWS
Evropská komise čelila v březnu kybernetickému incidentu, při kterém útočníci získali přístup k jejímu cloudovému prostředí a odnesli si téměř 92 GB dat. Podle CERT-EU útok souvisí se supply chain kompromitací nástroje Trivy a je s vysokou pravděpodobností dílem skupiny TeamPCP. Incident znovu ukazuje, jak nebezpečné může být narušení důvěry v běžně používané nástroje.
Evropská komise čelila v březnu vážnému kybernetickému incidentu, který podle analýzy CERT-EU souvisí se supply chain kompromitací nástroje Trivy. S vysokou mírou jistoty je útok připisován skupině TeamPCP.
Útočníci podle zjištění získali přístup 19. března zneužitím AWS API klíče a z cloudového prostředí následně odnesli přibližně 91,7 GB komprimovaných dat.
Únik zasáhl desítky systémů a tisíce souborů
Napadení se týkalo infrastruktury platformy europa.eu běžící na Amazon Web Services, kterou Evropská komise využívá pro provoz webů vlastních i dalších unijních institucí.
Podle CERT-EU se incident může týkat až 71 klientů této služby. Konkrétně jde o 42 interních systémů Komise a nejméně 29 dalších EU entit.
Součástí uniklých dat jsou osobní údaje včetně jmen, uživatelských jmen a e-mailových adres. Zpráva zároveň potvrzuje téměř 52 tisíc souborů souvisejících s odchozí e-mailovou komunikací o objemu přibližně 2,2 GB.
Většina těchto zpráv byla automatizovaná, ale riziko představují zejména bounce-back notifikace, které mohou obsahovat části původní komunikace.
Kompromitace přes aktualizaci. Supply chain jako vstupní bod
Vyšetřování ukazuje na kompromitovanou verzi nástroje Trivy, kterou Evropská komise v daném období používala standardní cestou přes aktualizace.
CERT-EU opírá atribuci o časovou shodu, typ zneužitých přístupových údajů i fakt, že organizace skutečně běžela na kompromitované verzi nástroje. Stejný incident byl dříve připsán skupině TeamPCP také firmou Aqua Security.
Právě tento typ útoku je zásadní – nejde o přímé napadení organizace, ale o zneužití důvěry v běžně používaný nástroj.
Přístup do cloudu s vyššími oprávněními
Útočník podle zprávy získal tzv. management rights ke kompromitovanému AWS klíči. To mu teoreticky mohlo umožnit širší kontrolu nad prostředím a případný pohyb mezi dalšími účty.
CERT-EU ale zároveň zdůrazňuje, že zatím neexistují důkazy, že by k takovému laterálnímu pohybu skutečně došlo.
Incident byl detekován až 24. března na základě anomálií v provozu a podezření na zneužití API. O den později byl předán CERT-EU.
Data se objevila na dark webu
Už 28. března se ukradený dataset objevil na leak stránkách skupiny ShinyHunters.
Ta tvrdí, že zveřejnila databáze, e-mailové servery i důvěrné dokumenty. CERT-EU tento krok spojuje s širším trendem spolupráce mezi kyberkriminálními skupinami, kdy jedna skupina data získá a jiná je monetizuje.
Další potvrzení trendu: útoky přes CI/CD a cloud
Incident zapadá do širšího obrazu posledních měsíců. Skupina TeamPCP je spojována i s útoky na nástroje jako LiteLLM a podle bezpečnostních firem se zaměřuje právě na CI/CD prostředí, přístupové klíče a cloudovou infrastrukturu.