Bastó una actualización rutinaria: una comprobación de seguridad corriente provocó una enorme filtración de datos en Europa.
El grupo ShinyHunters puso a la venta un archivo con la correspondencia interna de empleados de organismos de la Unión Europea.
Una filtración importante en la infraestructura de la Comisión Europea comenzó con, aparentemente, una actualización rutinaria de una herramienta. Como resultado, los atacantes obtuvieron acceso al entorno en la nube y exfiltraron decenas de gigabytes de datos.
El incidente afectó a la plataforma europa.eu, que funciona en la nube de Amazon Web Services. El problema se conoció el 24 de marzo, cuando el servicio de ciberseguridad de la Comisión Europea detectó una actividad extraña: llamadas sospechosas a las interfaces de programación de Amazon, un fuerte aumento del tráfico de red y señales de compromiso de una cuenta.
El análisis mostró que los atacantes accedieron mediante la compromisión de la cadena de suministro de la herramienta Trivy. La campaña se relacionó anteriormente con el grupo TeamPCP. El código malicioso se introdujo en una actualización que las organizaciones recibieron por los canales habituales. De esa forma, los atacantes lograron robar una clave de acceso a la infraestructura en la nube.
Con la clave, los atacantes se afianzaron en el sistema: crearon una nueva clave de acceso, realizaron reconocimiento y empezaron a buscar otros secretos. Para ello usaron la utilidad TruffleHog, que revisa credenciales y detecta claves ocultas en el sistema.
A través de la cuenta comprometida, los atacantes descargaron alrededor de 91,7 GB de datos comprimidos. Tras descomprimirlos, el volumen alcanza aproximadamente 340 GB. En el archivo había nombres, direcciones de correo electrónico y contenido de mensajes. Entre los archivos hay casi 52 000 mensajes, en su mayoría notificaciones automáticas, aunque parte de las respuestas podría contener texto enviado por usuarios.
La filtración no afectó solo a la propia Comisión Europea. La plataforma europa.eu da servicio a decenas de sitios. Se vieron comprometidos los datos de 42 unidades internas y al menos 29 otras entidades de la Unión Europea.
El 28 de marzo el grupo ShinyHunters publicó los datos robados en la dark web. En la descripción del archivo se mencionan volcados de servidores de correo, bases de datos y documentos confidenciales.
Tras detectar el ataque, la Comisión Europea cerró rápidamente el acceso a la cuenta comprometida y revocó todas las claves sospechosas. La institución notificó a las autoridades de protección de datos y empezó a contactar directamente con las organizaciones afectadas. Por ahora no han encontrado indicios de una mayor propagación del ataque dentro de la infraestructura en la nube. Los sitios continuaron funcionando sin interrupciones y no se registró manipulación de su contenido.