欧州委員会(EC)は、Trivy供給チェーン攻撃で漏洩したAPIキーを使用して、ハッカーがAWS環境から300GB以上のデータを盗んだことを確認しました。
この事件は3月24日に発生し、最初に報告されたのは3月27日で、ECはEuropa.euプラットフォームのリソースをホストするクラウドインフラストラクチャが侵害されたと警告しました。
現在、CERT-EUは、このハックがEuropa.euホスティングサービスのバックエンドの一部であるAWSクラウドアカウントを含んでいたことを明かしています。このサービスはECおよび他の欧州連合実体の公開ウェブサイトをサポートしています。
ハッカーは3月19日にAqua Security のTrivy脆弱性スキャナーへの供給チェーン攻撃で漏洩したAPIキーを使用して、AWSアカウントにアクセスしました。この攻撃はTeamPCPハッキンググループによって実行されました。
「欧州委員会は、通常のソフトウェア更新チャネルを通じて受け取った、漏洩したバージョンのTrivyを無意識のうちに使用していました」とCERT-EUは説明しています。
漏洩したAWSキーを使用して、攻撃者はユーザーアカウントに新しいアクセスキーを作成・接続し、偵察活動を実行しました(EUのサイバーセキュリティチームによる)。
「このキーは欧州委員会に関連する他のAWSアカウントへの制御を許可していました。同日、脅威行為者はTruffleHogを起動することで追加のシークレットを発見しようとしました。TruffleHogは、Security Token Service(STS)を呼び出してAWS認証情報をスキャンして検証するために一般的に使用されるツールです」とCERT-EUは述べています。
Wizは最近、TeamPCPが盗まれた認証情報の検証、発見操作の実行、データの流出、横展開の試みに時間を無駄にしなかったことを説明しました。
「脅威行為者は漏洩したAWSシークレットを使用して、影響を受けたクラウド環境からデータを流出させました。流出したデータはEuropa Webホスティングサービスの最大71クライアントのためにホストされているウェブサイトに関連しています:欧州委員会の42の内部クライアントおよび少なくとも29の他の連合実体」とCERT-EUは述べています。
3月28日、有名なShinyHunters恐喝グループが盗まれた情報をTorベースのリークサイトに追加しました。
圧縮されていない340GBのデータには、主にECのウェブサイトからの名前、メールアドレス、ユーザー名などの個人情報が含まれています。複数のEU実体全体のユーザーも影響を受けた可能性があるとCERT-EUは述べています。
データの約2.22GB、または51,992ファイルは、自動通知を表しており、ユーザーが送信した元のコンテンツを含むバウンスバックメッセージが含まれており、個人情報が含まれる可能性があります。
「ホストされているウェブサイトにリンクされているデータベースの分析は進行中です。関連するデータの量と複雑な性質を考えると、このプロセスはかなりの時間を要します」とCERT-EUは述べています。
侵害を学習すると、ECは漏洩したアカウントの権利を取り消し、漏洩した認証情報を無効化・ローテーションし、関連するデータ保護当局に通知しました。委員会はこの事件が内部システムに影響を与えなかったことも確認しました。
