Европейская комиссия нарушила безопасность после того, как хакеры заразили инструмент безопасности с открытым исходным кодом Trivy.

      CERT-EU приписал крупную утечку данных в Европейской комиссии киберпреступной группе TeamPCP, которая использовала атаку на цепочку поставок на инструменте безопасности с открытым исходным кодом Trivy, чтобы украсть 92 ГБ сжатых данных из инфраструктуры AWS Комиссии. Неприятная банда ShinyHunters затем опубликовала данные, которые включали электронные письма и личные данные до 71 клиента из учреждений ЕС. Утечка подчеркивает хрупкость цепочки поставок программного обеспечения с открытым исходным кодом, на которую полагаются инструменты безопасности, используемые правительствами.

      Компьютерная команда реагирования на чрезвычайные ситуации Европейского Союза сообщила в четверг, что атака на цепочку поставок на сканере безопасности с открытым исходным кодом дала хакерам доступ к облачной инфраструктуре Европейской комиссии, что привело к краже и публичной утечке примерно 92 гигабайт сжатых данных, включая личную информацию и содержимое электронных писем сотрудников из десятков учреждений ЕС.

      CERT-EU приписал утечку TeamPCP, киберпреступной группе, которая последние шесть недель систематически компрометировала инструменты, которые организации используют для защиты. Данные были впоследствии опубликованы в интернете ShinyHunters, известной бандой вымогателей, ответственной за утечки в Ticketmaster, AT&T и более чем 60 других компаниях. Двойная атрибуция, одна группа за взлом, другая за утечку, необычна в расследованиях киберпреступлений и предполагает растущую экосистему специализации среди преступных операторов.

      Атака началась 19 марта, когда Европейская комиссия незаметно загрузила скомпрометированную версию Trivy, широко используемого сканера уязвимостей с открытым исходным кодом, поддерживаемого Aqua Security. TeamPCP использовала неполную ротацию учетных данных после предыдущей утечки репозитория Trivy на GitHub в конце февраля, сохранив остаточный доступ для внедрения вредоносного кода в 76 из 77 тегов версий в репозитории trivy-action. Когда автоматизированный процесс безопасности Комиссии загрузил зараженное обновление, вредоносное ПО собрала ключ API AWS, который дал злоумышленникам доступ к облачному аккаунту Комиссии на Amazon Web Services.

      💜 технологий ЕС Последние новости из технологической сферы ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!С этого момента вторжение следовало тому, что Unit 42 в Palo Alto Networks описал как методическую разведывательную кампанию. Злоумышленники использовали TruffleHog, инструмент, предназначенный для сканирования облачных учетных данных, чтобы искать дополнительные секреты. Затем они прикрепили вновь созданный ключ доступа к существующему пользователю, чтобы избежать обнаружения, прежде чем перечислить пользователей и роли IAM, экземпляры EC2, функции Lambda, базы данных RDS, корзины S3 и хостинг-зоны Route 53. Основное внимание уделялось кластерам ECS, сопоставляя определения задач, чтобы найти цели для прямого доступа к контейнерам и массовой эксфиляции из AWS Secrets Manager.

      Центр кибербезопасности Европейской комиссии не обнаружил аномальную активность до 24 марта, через пять дней после первоначальной компрометации, когда предупреждения указали на потенциальное злоупотребление API Amazon и аномальное увеличение сетевого трафика. Комиссия публично раскрыла инцидент 27 марта. На следующий день ShinyHunters опубликовали набор данных на своем сайте утечек в даркнете.

      Масштаб утечки значителен. Украденные данные относятся к веб-сайтам, размещенным для до 71 клиента службы веб-хостинга Europa.eu: 42 внутренних клиентов Европейской комиссии и как минимум 29 других учреждений ЕС. CERT-EU подтвердил, что опубликованный набор данных, примерно 340 ГБ в распакованном виде, содержал почти 52 000 файлов исходящих электронных писем, а также списки имен, имен пользователей и адресов электронной почты. Потенциально пострадавшие агентства включают Европейское агентство по лекарственным средствам, Европейское управление по банковскому делу, само ENISA и Frontex, агентство пограничной и береговой охраны ЕС.

      Компрометация Trivy не была изолированным инцидентом. С 19 по 27 марта TeamPCP проводила то, что Palo Alto Networks назвала систематической кампанией против инфраструктуры безопасности с открытым исходным кодом. После Trivy группа нацелилась на Checkmarx KICS, сканер инфраструктуры как кода, внедрив вредоносные коммиты во все 35 тегов версий 21 марта. Затем они переключились на LiteLLM, инструмент AI-шлюза, потому что CI/CD пайплайн BerriAI использовал Trivy для сканирования, и зараженный trivy-action собрал токен публикации PyPI, который позволил злоумышленникам внедрять вредоносные пакеты непосредственно в индекс пакетов Python. Каждый скомпрометированный инструмент стал вектором для достижения следующей цели, создавая каскадную атаку на цепочку поставок, которая затронула организации далеко за пределами Европейской комиссии.

      Последствия для управленческих структур, которые Европа строила на протяжении многих лет, неудобны. Регламент кибербезопасности ЕС, принятый в 2023 году, был разработан для обеспечения институциональной устойчивости против именно такого рода атак. Директива NIS2 возлагает на руководителей на уровне совета директоров прямую ответственность за сбои в кибербезопасности, включая штрафы и дисквалификацию. Тем не менее, собственная инфраструктура Комиссии была скомпрометирована через вектор, зараженное обновление инструмента сканирования безопасности, который попадает прямо в слепую зону между управлением цепочкой поставок и защитой в режиме реального времени.

      TeamPCP, также отслеживаемая как DeadCatx3, PCPcat и ShellForce, была задокументирована CrowdStrike, Wiz и SANS как облачно-ориентированный угрозный актор, который эксплуатирует неправильно настроенные API Docker, кластеры Kubernetes и серверы Redis. Группа была связана с программами-вымогателями, эксфиляцией данных и криптомайнингом, и недавно объявила о партнерстве с CipherForce, другой группой-вымогателем, для совместной публикации данных о нарушениях. Профессионализация операций киберпреступников, где специалисты по первоначальному доступу, боковому перемещению и эксфиляции данных сотрудничают через организационные границы, отражает разделение труда, которое позволяет легитимным компаниям кибербезопасности быстро масштабироваться.

      ShinyHunters, в свою очередь, является известной величиной. Синдикат работает с 2020 года и владеет Breach Forums, одним из самых активных рынков даркнета для украденных данных. Француз Себастьен Раульт был приговорен к трем годам тюремного заключения в Сиэтле за свою роль в предыдущих операциях группы, но организация продолжила свою деятельность. Его участие в публикации данных Комиссии предполагает либо прямые отношения с TeamPCP, либо динамику рынка, в которой украденные данные попадают к наиболее эффективному дистрибьютору.

      Утечка происходит в особенно чувствительный момент для цифрового суверенитета ЕС. Комиссия полагается на AWS для частей своей веб-инфраструктуры, зависимость, которая привлекла внимание европейских законодателей, утверждающих, что критически важные государственные системы должны работать на европейских облачных провайдерах. Утечка, которая прослеживается от скомпрометированного инструмента с открытым исходным кодом до американской облачной платформы и сайта утечек в даркнете, управляемого международным преступным синдикатом, не успокоит эти опасения. Однако это усилит дебаты о том, соответствуют ли регуляторные амбиции ЕС операционной безопасности его собственных учреждений.

      Для более широкой технологической отрасли урок более непосредственный. Инструменты безопасности с открытым исходным кодом, которые организации используют для сканирования своего кода, аудита своей инфраструктуры и проверки своего соответствия, инструменты, которые должны быть последней линией защиты, стали поверхностью атаки. Один только Trivy используется тысячами организаций по всему миру. Когда сканер становится оружием, вся модель автоматизированной безопасности рушится, и предполож