Avrupa Birliği’nin siber güvenlik ajansı, Avrupa Komisyonu’nda yaşanan son siber saldırı ve veri ihlalinin TeamPCP adlı bir siber suç grubu tarafından gerçekleştirildiğini açıkladı.
CERT-EU’nun yayımladığı yeni raporunda, hackerların Avrupa Komisyonu’nun etkilenen Amazon Web Services (AWS) hesabından yaklaşık 92 gigabayt sıkıştırılmış veri çaldığı bildirildi. Bu veriler, kişisel bilgiler arasında isimler, e-posta adresleri ve e-postaların içeriklerini de kapsıyordu.
İhlal, Avrupa Birliği’nin üye ülkelerinin, komisyonun kurumları ve ajanslarının web sitelerini ve yayınlarını barındırmak için kullandığı Europa.eu platformunun bulut altyapısını etkiledi.
CERT-EU, en az 29 başka AB kuruluşunun verilerinin de etkilenmiş olabileceğini ve Avrupa Komisyonu’nun birçok iç müşterisinin de verilerinin çalınmış olabileceğini belirtti.
Çalınan veriler, başka bir hacking grubu olan ünlü ShinyHunters tarafından çevrimiçi olarak yayımlandı.
Veri ihlalinin büyüklüğü dikkat çekici olmakla birlikte, iki ayrı hacking grubunun Avrupa Komisyonu’nun verilerini sızdırması, siber suçluların kurbanlarını zorlamak için birlikte çalıştığına dair artan bir trendi de vurguluyor.
CERT-EU, ihlalinin 19 Mart’ta başladığını ve hackerların Avrupa Komisyonu’nun AWS hesabıyla ilişkili gizli bir API anahtarına eriştiğini, bunun da daha önceki bir Trivy hack’i sonrasında gerçekleştiğini açıkladı. Komisyon, proje çerçevesindeki sızıntı sonrası etkilenen Trivy aracının bir kopyasını istemeden indirdi, bu sayede hackerlar gizli API anahtarını çalıp, bu erişimi kullanarak Komisyon’un AWS hesabındaki verilere ulaştılar.
Servis, internette yayımlanan verileri hala analiz ettiklerini belirtti. Yaklaşık 52,000 dosyanın, gönderilmiş e-posta mesajlarını içerdiği bildiriliyor. CERT-EU, bu e-postaların çoğunun otomatik olduğunu ve içerik açısından çok az bilgi taşıdığını, ancak hata nedeniyle dönen e-postaların “asıl kullanıcıdan gelen içeriği içerebileceğini ve bunun kişisel veri sızıntısı riski taşıdığını” belirtti.
CERT-EU, etkilenen kuruluşlarla zaten iletişimde olduğunu açıkladı.
Avrupa Komisyonu’ndan bir sözcü, TechCrunch’a yaptığı açıklamada, kurumun gelecek haftaya kadar kapalı olduğunu ve bunun ardından yorum yapacaklarını söyledi.
ShinyHunters üyesi ise gelen yorum taleplerine yanıt vermedi.
Trivy ihlalinin yanı sıra TeamPCP, fidye yazılımı saldırıları ve kripto madencilik kampanyaları ile ilişkilendirildi Aqua Security tarafından bildiriliyor. Hackerlar, son zamanlarda başka açık kaynak güvenlik projelerini hedef alan sistematik bir tedarik zinciri saldırıları kampanyası yürütüyor Palo Alto Networks Unit 42‘ye göre.
Geliştiricileri hassas sistemlere erişim anahtarlarıyla hedef alarak, hackerlar “etkilenen kuruluşları fidye için zorlayabilme yeteneğine sahip.” şeklinde ifade edildi.
