وكالة الإنترنت الأوروبية تلقي باللوم على عصابات القرصنة في اختراق البيانات وتسريبها على نطاق واسع
قالت وكالة الأمن السيبراني التابعة للاتحاد الأوروبي، الخميس، إن الاختراق الأخير وخرق البيانات في الهيئة التنفيذية للاتحاد الأوروبي كان من عمل مجموعة إجرامية إلكترونية تعرف باسم TeamPCP.
وفي تقرير جديد، أفاد CERT-EU أيضًا أن المتسللين سرقوا حوالي 92 غيغابايت من البيانات المضغوطة من حساب Amazon Web Services (AWS) المخترق الذي تستخدمه المفوضية الأوروبية، والذي تضمن بيانات شخصية تحتوي على أسماء وعناوين بريد إلكتروني ومحتويات رسائل البريد الإلكتروني.
وأثر الاختراق على البنية التحتية السحابية لمنصة Europe.eu التابعة للمفوضية، والتي تستخدمها الدول الأعضاء لاستضافة المواقع الإلكترونية والمنشورات الخاصة بمؤسسات ووكالات الكتلة.
وكتب CERT-EU أن بيانات ما لا يقل عن 29 كيانًا آخر في الاتحاد الأوروبي قد تتأثر، وأن العشرات من عملاء المفوضية الأوروبية الداخليين ربما تعرضوا للسرقة أيضًا.
تم بعد ذلك نشر البيانات المسروقة عبر الإنترنت من قبل مجموعة قرصنة أخرى، وهي ShinyHunters سيئة السمعة.
في حين أن حجم اختراق البيانات ملحوظ في حد ذاته، فإن الاختراق والتسريب اللاحق لبيانات المفوضية الأوروبية من قبل مجموعتين منفصلتين من القرصنة يسلط الضوء على الاتجاه المتزايد لمجرمي الإنترنت الذين يعملون معًا لابتزاز ضحاياهم.
قال CERT-EU إن الاختراق نشأ في 19 مارس عندما حصل المتسللون على مفتاح API سري مرتبط بحساب AWS التابع للمفوضية الأوروبية، بعد اختراق سابق استهدف أداة الأمان مفتوحة المصدر Trivy. قامت المفوضية عن غير قصد بتنزيل نسخة من أداة Trivy المخترقة بعد الاختراق الأخير للمشروع، مما سمح للمتسللين بسرقة مفتاح API السري الخاص به واستخدام هذا الوصول إلى المحور للحصول على البيانات المخزنة في حساب AWS الخاص بالمفوضية.
وبينما قالت الخدمة إنها لا تزال تحلل البيانات المنشورة عبر الإنترنت، فإن ما يقرب من 52000 ملف تحتوي على رسائل بريد إلكتروني مرسلة. قال CERT-EU إن غالبية رسائل البريد الإلكتروني هذه تتم تلقائيًا مع محتوى قليل أو معدوم، لكن رسائل البريد الإلكتروني التي ارتدت مع وجود خطأ “قد تحتوي على المحتوى الأصلي الذي قدمه المستخدم، مما يشكل خطر الكشف عن البيانات الشخصية”.
وقال CERT-EU إنه على اتصال بالفعل بالمنظمات المتضررة.
اتصل بنا
هل لديك المزيد من المعلومات حول هذا الاختراق؟ أو غيرها من الهجمات الإلكترونية؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase @lorenzofb، أو البريد الإلكتروني.
وقال متحدث باسم المفوضية الأوروبية لـ TechCrunch إن الهيئة مغلقة حتى الأسبوع المقبل، وسوف تستجيب لطلب التعليق بعد ذلك.
ولم يستجب أحد أعضاء ShinyHunters لطلبات التعليق.
إلى جانب شاطئ Trivy، تم ربط TeamPCP بهجمات برامج الفدية وحملات تعدين العملات المشفرة، كما تقول شركة Aqua Security، التي تطور Trivy. كان المتسللون في الآونة الأخيرة وراء حملة منظمة من هجمات سلسلة التوريد التي تهدد مشاريع أمنية أخرى مفتوحة المصدر، وفقًا لوحدة Palo Alto Networks Unit 42.
وكتبت الوحدة 42 أنه من خلال استهداف المطورين بمفاتيح الوصول إلى الأنظمة الحساسة، يصبح لدى المتسللين “عندها القدرة على احتجاز المنظمات المخترقة للحصول على فدية، والمطالبة بدفعات ابتزازية”.
