Хватило обычного обновления. Обычная проверка безопасности обернулась для Европы гигантским сливом данных
NewsMakerГруппа ShinyHunters выставила на продажу архив с перепиской сотрудников ведомств Евросоюза.
Крупная утечка в инфраструктуре Еврокомиссии началась с, казалось бы, обычного обновления инструмента. В итоге злоумышленники получили доступ к облачной среде и вынесли десятки гигабайт данных.
Инцидент затронул платформу europa.eu, которая работает в облаке Amazon Web Services. О проблеме стало известно 24 марта, когда служба кибербезопасности Еврокомиссии заметила странную активность: подозрительные вызовы программных интерфейсов Amazon, резкий рост сетевого трафика и признаки взлома учётной записи.
Разбор показал, что злоумышленники проникли через компрометацию цепочки поставок инструмента Trivy. Кампанию ранее связали с группировкой TeamPCP. Вредоносный код попал в обновление, которое организации получили обычным способом через стандартные каналы. Таким образом атакующие смогли украсть ключ доступа к облачной инфраструктуре.
Получив ключ, злоумышленники закрепились в системе: создали новый ключ доступа, провели разведку и начали искать другие секреты. Для этого использовали утилиту TruffleHog, которая проверяет учётные данные и находит скрытые ключи в системе.
Крупная утечка в инфраструктуре Еврокомиссии началась с, казалось бы, обычного обновления инструмента. В итоге злоумышленники получили доступ к облачной среде и вынесли десятки гигабайт данных.
Инцидент затронул платформу europa.eu, которая работает в облаке Amazon Web Services. О проблеме стало известно 24 марта, когда служба кибербезопасности Еврокомиссии заметила странную активность: подозрительные вызовы программных интерфейсов Amazon, резкий рост сетевого трафика и признаки взлома учётной записи.
Разбор показал, что злоумышленники проникли через компрометацию цепочки поставок инструмента Trivy. Кампанию ранее связали с группировкой TeamPCP. Вредоносный код попал в обновление, которое организации получили обычным способом через стандартные каналы. Таким образом атакующие смогли украсть ключ доступа к облачной инфраструктуре.
Получив ключ, злоумышленники закрепились в системе: создали новый ключ доступа, провели разведку и начали искать другие секреты. Для этого использовали утилиту TruffleHog, которая проверяет учётные данные и находит скрытые ключи в системе.