Европейская комиссия нарушила безопасность после того, как хакеры отравили инструмент безопасности с открытым исходным кодом Trivy

      CERT-EU приписал крупную утечку данных в Европейской комиссии киберпреступной группе TeamPCP, которая использовала атаку на цепочку поставок на инструменте безопасности с открытым исходным кодом Trivy, чтобы украсть 92 ГБ сжатых данных из инфраструктуры AWS Комиссии. Печально известная банда ShinyHunters затем опубликовала данные, которые включали электронные письма и личные данные до 71 клиента из учреждений ЕС. Утечка подчеркивает хрупкость цепочки поставок программного обеспечения с открытым исходным кодом, на которую полагаются правительственные органы для обеспечения безопасности.

      Компьютерная команда экстренного реагирования Европейского Союза сообщила в четверг, что атака на инструмент безопасности с открытым исходным код дала хакерам доступ к облачной инфраструктуре Европейской комиссии, что привело к краже и публичной утечке примерно 92 гигабайт сжатых данных, включая личную информацию и содержимое электронных писем сотрудников из десятков учреждений ЕС.

      CERT-EU приписал утечку TeamPCP, киберпреступной группе, которая последние шесть недель систематически компрометировала инструменты, которые организации используют для защиты. Данные были впоследствии опубликованы в Интернете ShinyHunters, печально известной бандой вымогателей, ответственной за утечки в Ticketmaster, AT&T и более чем 60 других компаниях. Двойная атрибуция, одна группа за взлом, другая за утечку, является необычной в расследованиях киберпреступлений и указывает на растущую экосистему специализации среди преступных операторов.

      Атака началась 19 марта, когда Европейская комиссия неосознанно загрузила скомпрометированную версию Trivy, широко используемого сканера уязвимостей с открытым исходным кодом, поддерживаемого Aqua Security. TeamPCP использовала неполную ротацию учетных данных после предыдущей утечки репозитория Trivy на GitHub в конце февраля, сохранив остаточный доступ для внедрения вредоносного кода в 76 из 77 тегов версий в репозитории trivy-action. Когда автоматизированный процесс безопасности Комиссии загрузил зараженное обновление, вредоносное ПО собрала ключ API AWS, который дал злоумышленникам доступ к облачной учетной записи Комиссии на Amazon Web Services.

      💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!С этого момента вторжение следовало тому, что Unit 42 из Palo Alto Networks описал как методическую разведывательную кампанию. Злоумышленники использовали TruffleHog, инструмент, предназначенный для сканирования облачных учетных данных, чтобы искать дополнительные секреты. Затем они прикрепили вновь созданный ключ доступа к существующему пользователю, чтобы избежать обнаружения, прежде чем перечислить пользователей и роли IAM, экземпляры EC2, функции Lambda, базы данных RDS, корзины S3 и размещенные зоны Route 53. Основное внимание уделялось кластерам ECS, сопоставляя определения задач, чтобы найти цели для прямого доступа к контейнерам и массовой эксфиляции из AWS Secrets Manager.

      Центр кибербезопасности Европейской комиссии не обнаружил аномальную активность до 24 марта, через пять дней после первоначальной компрометации, когда предупреждения сигнализировали о потенциальном неправомерном использовании API Amazon и аномальном увеличении сетевого трафика. Комиссия публично раскрыла инцидент 27 марта. На следующий день ShinyHunters опубликовали набор данных на своем сайте утечек в даркнете.

      Масштаб утечки значителен. Украденные данные относятся к веб-сайтам, размещенным для до 71 клиента службы веб-хостинга Europa.eu: 42 внутренних клиентов Европейской комиссии и как минимум 29 других организаций ЕС. CERT-EU подтвердил, что опубликованный набор данных, примерно 340 ГБ в распакованном виде, содержал почти 52 000 файлов исходящей электронной почты, а также списки имен, имен пользователей и адресов электронной почты. Потенциально затронутыми являются Европейское агентство по лекарственным средствам, Европейское управление по банковскому делу, само ENISA и Frontex, агентство пограничной и береговой охраны ЕС.

      Компрометация Trivy не была изолированным инцидентом. С 19 по 27 марта TeamPCP провела то, что Palo Alto Networks назвала систематической кампанией против инфраструктуры безопасности с открытым исходным кодом. После Trivy группа нацелилась на Checkmarx KICS, сканер инфраструктуры как кода, внедрив вредоносные коммиты во все 35 тегов версий 21 марта. Затем они переключились на LiteLLM, инструмент AI-шлюза, потому что CI/CD пайплайн BerriAI использовал Trivy для сканирования, и зараженный trivy-action собрал токен публикации PyPI, который позволил злоумышленникам внедрять вредоносные пакеты непосредственно в Индекс пакетов Python. Каждый скомпрометированный инструмент стал вектором для достижения следующей цели, создавая каскадную атаку на цепочку поставок, которая затронула организации далеко за пределами Европейской комиссии.

      Последствия для управленческих структур, которые Европа строила на протяжении многих лет, являются неудобными. Регламент кибербезопасности ЕС, принятый в 2023 году, был разработан для обеспечения институциональной устойчивости против именно такого рода атак. Директива NIS2 возлагает прямую ответственность на руководителей на уровне совета за сбои в кибербезопасности, с наказаниями, включая штрафы и дисквалификацию. Тем не менее, собственная инфраструктура Комиссии была скомпрометирована через вектор, зараженное обновление инструмента сканирования безопасности, который попадает прямо в слепую зону между управлением цепочкой поставок и защитой во время выполнения.

      TeamPCP, также отслеживаемая как DeadCatx3, PCPcat и ShellForce, была задокументирована CrowdStrike, Wiz и SANS как облачно-ориентированный угрозный актор, который использует неправильно настроенные API Docker, кластеры Kubernetes и серверы Redis. Группа была связана с программами-вымогателями, эксфиляцией данных и криптомайнингом, и недавно объявила о партнерстве с CipherForce, другой группой-вымогателем, для совместной публикации данных о нарушениях. Профессионализация операций киберпреступников, где специалисты по первоначальному доступу, боковому перемещению и вымогательству данных сотрудничают через организационные границы, отражает разделение труда, которое позволяет легитимным компаниям в области кибербезопасности быстро масштабироваться.

      ShinyHunters, в свою очередь, является известной величиной. Синдикат работает с 2020 года и владеет Breach Forums, одним из самых активных рынков даркнета для украденных данных. Француз Себастьен Раульт был приговорен к трем годам тюремного заключения в Сиэтле за свою роль в предыдущих операциях группы, но организация продолжила свою деятельность. Его участие в публикации данных Комиссии предполагает либо прямые отношения с TeamPCP, либо рыночную динамику, при которой украденные данные попадают к наиболее эффективному дистрибьютору.

      Утечка происходит в особенно чувствительный момент для цифрового суверенитета ЕС. Комиссия полагается на AWS для частей своей веб-инфраструктуры, зависимость, которая привлекла внимание европейских законодателей, утверждающих, что критически важные государственные системы должны работать на европейских облачных провайдерах. Утечка, которая прослеживается от скомпрометированного инструмента с открытым исходным кодом до американской облачной платформы и сайта утечек в даркнете, управляемого международным преступным синдикатом, не успокоит эти опасения. Однако это усилит дебаты о том, соответствуют ли амбиции ЕС в области регулирования операционной безопасности его собственных учреждений.

      Для более широкой технологической отрасли урок более непосредственный. Инструменты безопасности с открытым исходным кодом, которые организации используют для сканирования своего кода, аудита своей инфраструктуры и проверки своей соответствия, инструменты, которые должны быть последней линией защиты, стали поверхностью атаки. Один только Trivy используется тысячами организаций по всему миру. Когда сканер становится оружием, вся модель автоматизированной безопасности рушится, и предположения о доверии