El grup responsable d’introduir-se als seus sistemes i moure’s lateralment per ells va ser TeamPCP, segons ha revelat CERT-EU.

L’incident es va fer públic el 27 de març passat, després que les investigacions confirmessin que l’entorn de núvol d’Amazon de la Comissió havia estat compromès.

El 24 de març Brussel·les va detectar un ciberatac que va afectar la infraestructura cloud que allotja els seus llocs web Europa.eu. La Comissió va alertar CERT-EU dos dies abans de la divulgació, sense trobar indicis de vulneració fins a aquesta jornada, cinc dies després de la bretxa inicial. 

«Els primers resultats de la nostra investigació en curs suggereixen que s’han sostret dades d’aquests llocs web. La Comissió està notificant degudament a les entitats de la Unió que podrien haver-se vist afectades per l’incident», diu el comunicat de premsa publicat per l’organisme. «Els serveis de la Comissió continuen investigant l’abast total de l’incident», afegeixen. 

Com ho van fer

Una investigació de CERT-EU va revelar que el grup TeamPCP va obtenir accés a l’entorn d’Amazon Web Services (AWS) de la Comissió Europea a partir del 10 de març, mitjançant una clau API robada a través de la vulneració de la cadena de subministrament de Trivy. Aquesta clau els va permetre controlar altres comptes d’AWS vinculats a la Comissió i preparar el terreny per a activitats posteriors de reconeixement i robatori de dades.

El 19 de març, els atacants van intentar localitzar més credencials mitjançant TruffleHog, una eina que escaneja claus secretes i valida credencials d’AWS a través del Servei de Tokens de Seguretat (STS). Mitjançant la contrasenya compromesa, van crear claus d’accés noves per a un usuari existent, amb l’objectiu d’evadir la detecció mentre duien a terme tasques de reconeixement i extracció d’informació.

TeamPCP té un historial d’atacs a cadenes de subministrament en plataformes com ara GitHub, PyPI, NPM i Docker, inclòs l’ús del paquet LiteLLM compromès per propagar codi maliciós de robatori de dades. 

Segons CERT-EU i la Comissió Europea, hi ha «una gran certesa» que la vulneració inicial es va originar a Trivy, com va confirmar l’empresa Aqua Security al seu informe sobre l’incident.

Una banda es va colar i una altra va compartir les dades

Originalment, la banda que s’havia atribuït l’autoria de l’atac va ser ShinyHunters. Aquesta va fer públiques les dades robades a la seva pàgina de filtracions del web fosc el 28 de març passat. La banda havia obtingut 340 GB, amb «buidatges de dades de servidors de correu, contenidors de dades, documents confidencials, contractes i molt més material delicat.»

«L’anàlisi del conjunt de dades publicat ha confirmat fins ara la presència de dades personals, incloses llistes de noms, cognoms, noms d’usuari i adreces de correu electrònic, procedents principalment dels llocs web de la Comissió Europea, però que potencialment pertanyen a usuaris de múltiples entitats de la Unió», comenten des del CERT-EU.

El conjunt de dades també contindria prop de 52.000 fitxers relacionats amb comunicacions de correu electrònic sortints, amb un total de 2,22 GB.