O Serviço de Cibersegurança da União Europeia, o CERT-EU, atribuiu o hack na cloud da Comissão Europeia ao grupo de ameaças TeamPCP e afirmou que a violação resultante expôs dados de pelo menos outras 29 entidades da União.
A Comissão Europeia tornou o incidente público em 27 de março, após a confirmação de que o ambiente de cloud Amazon Web Services do principal órgão executivo da União Europeia havia sido comprometido.
Dois dias antes, a Comissão havia notificado o CERT-EU sobre o ataque e informado que seu Cybersecurity Operations Center não identificou uso indevido de APIs, possível comprometimento de contas ou tráfego de rede anormal até 24 de março, cinco dias após a intrusão inicial.
Em 10 de março, o TeamPCP usou uma chave de API comprometida da Amazon Web Services, com privilégios de gerenciamento sobre outras contas AWS da Comissão Europeia, roubada no ataque à cadeia de suprimentos do Trivy, para invadir o ambiente de cloud Amazon da Comissão.
Na etapa seguinte da ofensiva, os atacantes usaram o TruffleHog, ferramenta para varredura e validação de credenciais em cloud, para buscar segredos adicionais.
Depois, anexaram uma nova chave de acesso a um usuário já existente para evitar a detecção antes de avançar na exploração do ambiente e no roubo de dados.
O TeamPCP já foi associado a ataques de cadeia de suprimentos contra outras plataformas de código usadas por desenvolvedores, como GitHub, PyPI, NPM e Docker.
O grupo também comprometeu o pacote LiteLLM no PyPI, em uma ofensiva que afetou dezenas de milhares de dispositivos com seu malware de roubo de informações, o TeamPCP Cloud Stealer.
Em 28 de março, o grupo de extorsão ShinyHunters publicou o conjunto de dados roubado em seu site de vazamentos na dark web como um arquivo de 90 GB de documentos, cerca de 340 GB descompactados, contendo nomes, endereços de e-mail e conteúdo de mensagens.
A análise do CERT-EU confirmou que os agentes da ameaça roubaram dezenas de milhares de arquivos com informações pessoais, nomes de usuário, endereços de e-mail e conteúdo de e-mails, e que a violação pode afetar 42 clientes internos da Comissão Europeia e pelo menos 29 outras entidades da União que usam o serviço de hospedagem web europa.eu.
“O agente da ameaça usou o segredo AWS comprometido para exfiltrar dados do ambiente de cloud afetado.
Os dados exfiltrados dizem respeito a sites hospedados para até 71 clientes do serviço de hospedagem web Europa: 42 clientes internos da Comissão Europeia e pelo menos 29 outras entidades da União”, afirmou o CERT-EU na quinta-feira.
“A análise do conjunto de dados publicado até agora confirmou a presença de dados pessoais, incluindo listas de nomes, sobrenomes, nomes de usuário e endereços de e-mail, predominantemente dos sites da Comissão Europeia, mas potencialmente relacionados a usuários de várias entidades da União”, acrescentou.
“O conjunto de dados também contém pelo menos 51.992 arquivos relacionados a comunicações de e-mail de saída, totalizando 2,22 GB.
A maioria são notificações automáticas, com pouco ou nenhum conteúdo.
No entanto, notificações de bounce-back, que são respostas a mensagens recebidas de usuários, podem conter o conteúdo original enviado, representando risco de exposição de dados pessoais.”
O CERT-EU acrescentou que nenhum site foi derrubado ou adulterado em decorrência do incidente e que não há indícios de movimentação lateral para outras contas AWS da Comissão.
Embora a análise das bases e dos arquivos exfiltrados ainda esteja em andamento e deva exigir “um tempo considerável”, a Comissão já notificou as autoridades de proteção de dados competentes e mantém comunicação direta com as entidades afetadas.
Em fevereiro, a Comissão Europeia revelou outra violação de dados após descobrir que uma plataforma de gestão de dispositivos móveis usada para administrar os equipamentos dos funcionários havia sido invadida.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...