- Автор темы
- #1
Европейская комиссия сообщила, что недавний взлом ее облачной инфраструктуры был результатом атаки на цепочку поставок сканера уязвимостей Trivy. Хакеры похитили у ЕК более 300 ГБ данных, включая личные данные пользователей.
Напомним, что инцидент произошел 24 марта 2026 года, и вскоре ЕК предупредила о компрометации своей облачной инфраструктуры, обслуживающей платформу Europa.eu. Ответственность за эту атаку взяла на себя вымогательская группировка ShinyHunters.
Теперь команда CERT-EU раскрыла детали произошедшего: злоумышленники получили доступ к AWS-аккаунту, который является частью бэкенда хостинга Europa.eu (поддерживает публичные сайты Европейской комиссии и ряда других структур Евросоюза).
Точкой входа для злоумышленников послужил API-ключ, скомпрометированный еще 19 марта в ходе атаки на сканер Trivy. Как поясняют специалисты, Европейская комиссия использовала зараженную версию Trivy, не подозревая об этом: инструмент поступил по обычным каналам обновления ПО.
Получив скомпрометированный AWS-ключ, атакующие создали и привязали к учетной записи новый ключ доступа, после чего приступили к разведке. Следом в ход пошел TruffleHog — инструмент для поиска секретов и валидации учетных данных AWS через Security Token Service (STS).
Отдельно стоит отметить, что около 2,22 ГБ (51 992 файла) составляли автоматические уведомления, включая сообщения о недоставке с оригинальным пользовательским контентом. То есть них тоже могли содержаться персональные данные.
Анализ БД пострадавших сайтов еще продолжается, но в CERT-EU предупреждают, что из-за объема и сложности данных это займет немало времени.
Напомним, что инцидент произошел 24 марта 2026 года, и вскоре ЕК предупредила о компрометации своей облачной инфраструктуры, обслуживающей платформу Europa.eu. Ответственность за эту атаку взяла на себя вымогательская группировка ShinyHunters.
Теперь команда CERT-EU раскрыла детали произошедшего: злоумышленники получили доступ к AWS-аккаунту, который является частью бэкенда хостинга Europa.eu (поддерживает публичные сайты Европейской комиссии и ряда других структур Евросоюза).
Точкой входа для злоумышленников послужил API-ключ, скомпрометированный еще 19 марта в ходе атаки на сканер Trivy. Как поясняют специалисты, Европейская комиссия использовала зараженную версию Trivy, не подозревая об этом: инструмент поступил по обычным каналам обновления ПО.
Получив скомпрометированный AWS-ключ, атакующие создали и привязали к учетной записи новый ключ доступа, после чего приступили к разведке. Следом в ход пошел TruffleHog — инструмент для поиска секретов и валидации учетных данных AWS через Security Token Service (STS).
В общей сложности утечка затронула данные 71 клиента хостинга Europa.eu — 42 внутренних подразделения Европейской комиссии и не менее 29 других структур ЕС. Общий объем похищенных данных в несжатом виде составил 340 ГБ. Утечка включала имена, адреса электронной почты и логины (в основном с сайтов ЕК).
Отдельно стоит отметить, что около 2,22 ГБ (51 992 файла) составляли автоматические уведомления, включая сообщения о недоставке с оригинальным пользовательским контентом. То есть них тоже могли содержаться персональные данные.
Анализ БД пострадавших сайтов еще продолжается, но в CERT-EU предупреждают, что из-за объема и сложности данных это займет немало времени.