Een hack op het Europa-webplatform van de Europese Commissie heeft niet alleen impact op de Commissie zelf, maar waarschijnlijk ook op minstens 29 andere EU-entiteiten. Uit de eerste analyse blijkt dat 91,7 GB aan data zijn buitgemaakt.
CERT-EU, verantwoordelijk voor de cybersecurity van de EU, laat weten dat hackers vermoedelijk aan de haal zijn gegaan met gevoelige gegevens van de Europese Commissie en 29 andere EU-entiteiten. Dat gebeurde tijdens een kraak van de cloudinfrastructuur achter het Europa.eu-webplatform, waarvan de Commissie op 24 maart melding maakte.
Criminelen gingen aan de haal met gegevens afkomstig van de gebruikers van de hosting-infrastructuur. Op 28 maart maakte de afpersingsgroep ShinyHunters de buitgemaakte data publiek op zijn dark web-leksite. De gepubliceerde dataset is ongeveer 91,7 GB groot in gecomprimeerde vorm, goed voor 340 GB ongecomprimeerd. Er zijn voorlopig geen aanwijzingen dat websites offline gingen of aangepast werden, en er waren evenmin onderbrekingen van de dienstverlening.
Persoonsgegevens
De analyse van CERT-EU bevestigt intussen de aanwezigheid van persoonsgegevens in de buitgemaakte dataset. Het gaat onder meer om lijsten met voornamen, familienamen, gebruikersnamen en e-mailadressen. Die gegevens zijn vooral gelinkt aan websites van de Europese Commissie, maar kunnen ook betrekking hebben op gebruikers van meerdere andere EU-entiteiten die van dezelfde hostingdienst gebruikmaken.
Daarnaast bevat de dataset minstens 51.992 bestanden die verband houden met uitgaande e-mailcommunicatie, samen goed voor 2,22 GB. Het gaat grotendeels om automatische notificaties met weinig of geen inhoud. Zogenoemde bounce-backmeldingen kunnen echter originele inhoud bevatten die gebruikers eerder hebben ingestuurd, waardoor extra persoonsgegevens blootgesteld kunnen zijn.
De analyse van databanken die aan de gehoste websites gekoppeld zijn, loopt nog. Volgens CERT-EU vraagt dat door het volume en de complexiteit van de data veel tijd. Bijkomende details over specifieke blootstelling zal de organisatie rechtstreeks delen met de getroffen partijen.
Supply chain-aanval
De kraak gebeurde via een supply chain-aanval, waarbij hackers toegang kregen tot de AWS-omgeving achter Europa.eu. Via die omgeving worden websites gehost voor tot 71 klanten: 42 interne klanten van de Commissie en minstens 29 andere EU-entiteiten.
De Europese Commissie kreeg op 24 maart waarschuwingen over mogelijk misbruik van Amazon-API’s, een mogelijke account-compromittering en een abnormale stijging van netwerkverkeer. Een dag later lichtte de Commissie CERT-EU in. Het onderzoek wijst erop dat de aanvallers hun initiële toegang verkregen via de Trivy supply chain-compromittering. Die zou dan weer toe te schrijven zijn aan de cybercriminelen van TeamPCP.
Onveilige beveiligingstool
Trivy is ironisch genoeg een beveiligingstool. De open source-oplossing wordt gebruikt om te scannen op kwetsbaarheden. TeamPCP kon zich toegang verschaffen tot het GitHub-repository waar de code van Trivy leeft. Op die manier konden ze een achterpoort inbouwen en automatisch uitsturen naar gebruikers, inclusief de IT-dienst van de Europese Commissie.
Dat zorgde er dan weer voor dat aanvallers een AWS-API-sleutel van de Commissie konden buitmaken. Dat gebeurde vermoedelijk op 19 maart. Via de sleutel kregen de hackers controle over andere AWS-accounts die aan de Europese Commissie gelinkt waren en betrekking hadden op de infrastructuur die Europa.eu ondersteunt.
De Europese Commissie trok snel de rechten van het gecompromitteerde AWS-account in en schakelde alle betrokken toegangssleutels uit of verwijderde ze. Op dat moment was het kwaad al geschied, en was de data gestolen.
Snelle aanvallen vanuit het ecosysteem
De aanval illustreert de actuele werkwijze van cybercriminelen. Die zijn geen weken meer aanwezig in het netwerk van hun slachtoffer, maar proberen zo snel mogelijk toe te slaan. De doorlooptijd van de gemiddelde aanval gericht op ransomware en datadiefstal is vandaag ongeveer vier dagen. De ligt in lijn met de tijd die ShinyHunters in het Europese netwerk heeft doorgebracht.
Bovendien onderschrijft het verloop van de aanval actuele bevindingen over de werking van de digitale criminele onderwereld. Aanvallen worden niet uitgevoerd door één partij, maar komen tot stand door samenwerking van een heel ecosysteem aan hackers. Gespecialiseerde partijen zoals TeamPCP zorgen voor achterpoortjes en toegang tot systemen, maar houden zich zelf niet bezig met afpersing en datadiefstal. Hun verdienmodel bestaat eruit om de toegang te verkopen aan andere criminelen. In dit geval gebeurt de eigenlijke afpersing door ShinyHunters.
Populair doelwit
Overheidsinstellingen zijn geliefkoosde doelwitten van hackers in dienst van natiestaten. Zelfs kleine hacks, zonder significante gevolgen, hebben een impact op het vertrouwen dat burgers hebben in hun overheid. Begin februari werd Europa al het slachtoffer van een aanval die zich vermoedelijk in die context situeert.
De huidige kraak lijkt niet meteen gelinkt aan de activiteiten van een vijandige mogendheid zoals Rusland. ShinyHunters en TeamPCP zijn eerder beroepscriminelen. De impact is desalniettemin gelijkaardig.