欧州連合のサイバーセキュリティサービス(CERT-EU)は、欧州委員会のクラウドハッキングをTeamPCPの脅威グループに帰属させ、その結果のブリーチが少なくとも29の他のユニオン機関のデータを露出させたと述べています。
欧州委員会は3月27日に事件を公開開示し、BleepingComputerが確認を求めた後、欧州連合の主要な行政機関のAmazonクラウド環境がブリーチされたことが判明しました。
2日前、委員会はハッキングについてCERT-EUに通知し、そのサイバーセキュリティオペレーションセンターは3月24日まで、初期侵入から5日後のAPI悪用、潜在的なアカウント侵害、または異常なネットワークトラフィックについて警告されなかったと述べています。
3月10日、TeamPCPは、管理権を持つ侵害されたAmazon Web Services APIキー(Trivyサプライチェーン攻撃で盗まれた)を使用して、委員会のAmazonクラウド環境をブリーチしました。
攻撃の次の段階で、彼らはTruffleHog(クラウド認証情報をスキャンおよび検証するためのツール)を使用して追加のシークレットを検索し、その後、検出を回避するために既存ユーザーに新しく作成されたアクセスキーを添付し、さらなる偵察を実施してデータを盗みました。
TeamPCPは、GitHub、PyPi、NPM、およびDockerなどの複数の他の開発者コードプラットフォームを対象とするサプライチェーン攻撃にリンクされています。
サイバー犯罪ギャングは、LiteLLM PyPIパッケージも侵害しており、その「TeamPCP Cloud Stealer」情報盗取マルウェアを使用する数万台のデバイスに影響を与えた攻撃となりました。
ShinyHuntersによるダークウェブでのデータ漏洩
3月28日、データ恐喝グループのShinyHuntersは、盗まれたデータセットを自分たちのダークウェブリークサイトに90GBのドキュメントアーカイブ(圧縮されていない場合は約340GB)として公開し、名前、メールアドレス、およびメールコンテンツが含まれていました。
CERT-EUの分析により、脅威アクターが個人情報、ユーザー名、メールアドレス、およびメールコンテンツを含む数万のファイルを盗み、その結果のデータブリーチがeuropa.euウェブホスティングサービスを使用する42の内部欧州委員会クライアントと少なくとも29の他のユニオン機関に潜在的に影響を与えることが確認されました。
「脅威アクターは侵害されたAWSシークレットを使用して、影響を受けたクラウド環境からデータを流出させました。流出したデータは、Europaウェブホスティングサービスの最大71クライアント向けにホストされたウェブサイトに関連しています。42の欧州委員会の内部クライアント、および少なくとも29の他のユニオン機関です」とCERT-EUは木曜日に述べました。
「公開されたデータセットの分析により、これまでのところ個人データの存在が確認されており、これには名前、姓、ユーザー名、およびメールアドレスのリストが含まれています。主に欧州委員会のウェブサイトからのものですが、複数のユニオン機関のユーザーに関連する可能性があります」と追加されました。
「データセットには、送信メール通信に関連する少なくとも51,992のファイルも含まれており、合計2.22GBです。これらの大多数は、コンテンツがほとんどまたはまったくない自動化された通知です。ただし、ユーザーからの受信メッセージへの応答である「バウンスバック」通知には、ユーザーが送信した元のコンテンツが含まれている可能性があり、個人データ漏洩のリスクが生じています。」
CERT-EUは、このインシデントの結果としてウェブサイトがオフラインにされたり改ざんされたりしていないこと、および他の委員会のAWSアカウントへの横方向の移動は検出されていないことを追加しました。
流出したデータベースおよびファイルの分析は進行中であり、「かなりの時間」を要する可能性がありますが、委員会は関連するデータ保護当局に通知し、影響を受けた機関と直接通信しています。
2月に、欧州委員会は、スタッフのデバイスを管理するために使用されるモバイルデバイス管理プラットフォームがハッキングされたことを発見した後、別のデータブリーチを開示しました。
