Η υπηρεσία κυβερνοασφάλειας της ΕΕ αποδίδει σε δύο συμμορίες χάκερ την πρόσφατη, εκτεταμένη διαρροή δεδομένων της Κομισιόν. Η υπόθεση αναδεικνύει τις αδυναμίες της εφοδιαστικής αλυσίδας λογισμικού και του cloud.
Σε μία από τις σοβαρότερες ψηφιακές παραβιάσεις ευρωπαϊκών θεσμών των τελευταίων ετών, η υπηρεσία αντιμετώπισης συμβάντων κυβερνοασφάλειας της ΕΕ (CERT-EU) απέδωσε την πρόσφατη επίθεση στην Ευρωπαϊκή Επιτροπή σε οργανωμένο κυβερνοσυμμορία με την ονομασία TeamPCP. Τη δημοσιοποίηση των κλεμμένων δεδομένων, ωστόσο, ανέλαβε δεύτερη ομάδα, οι διαβόητοι ShinyHunters, επιβεβαιώνοντας την τάση συνεργασίας μεταξύ εγκληματικών ομάδων στον κυβερνοχώρο.
Πώς έγινε η παραβίαση και τι εκλάπη
Σύμφωνα με την τεχνική αναφορά της CERT-EU, οι δράστες απέσπασαν περίπου 92 GB συμπιεσμένων δεδομένων από λογαριασμό Amazon Web Services (AWS) που χρησιμοποιούσε η Ευρωπαϊκή Επιτροπή. Ο λογαριασμός αυτός συνδεόταν με την cloud υποδομή της πλατφόρμας Europa.eu, μέσω της οποίας φιλοξενούνται ιστότοποι και δημοσιεύσεις θεσμών και οργανισμών της ΕΕ.
Τα δεδομένα περιλαμβάνουν προσωπικές πληροφορίες, όπως ονόματα, διευθύνσεις email και περιεχόμενο μηνυμάτων. Η CERT-EU εκτιμά ότι τουλάχιστον 29 άλλοι φορείς της ΕΕ ενδέχεται να έχουν επηρεαστεί, ενώ δεκάδες εσωτερικοί «πελάτες» της Κομισιόν πιθανόν να είδαν τα δεδομένα τους να υποκλέπτονται.
Από τα περίπου 52.000 αρχεία που ταυτοποιήθηκαν ως εξερχόμενα email, η πλειονότητα αφορά αυτοματοποιημένα μηνύματα με ελάχιστο περιεχόμενο. Ωστόσο, τα μηνύματα που «επέστρεψαν» με σφάλμα ενδέχεται να περιέχουν το αρχικό κείμενο που υπέβαλαν χρήστες, αυξάνοντας τον κίνδυνο έκθεσης προσωπικών δεδομένων και δυνητικά ευαίσθητων πληροφοριών.
Εφοδιαστική αλυσίδα λογισμικού και συνεργασία συμμοριών
Το συμβάν δεν ξεκίνησε από τα ίδια τα συστήματα της Κομισιόν, αλλά από την αλυσίδα εφοδιασμού λογισμικού. Η CERT-EU αναφέρει ότι η παραβίαση ανάγεται σε επίθεση στην ανοιχτού κώδικα λύση ασφάλειας Trivy. Μετά την αλλοίωση του εργαλείου, η Ευρωπαϊκή Επιτροπή κατέβασε άθελά της μολυσμένη έκδοση, επιτρέποντας στους δράστες να αποσπάσουν ένα μυστικό κλειδί API που συνδεόταν με τον λογαριασμό AWS της.
Αξιοποιώντας αυτό το κλειδί, οι χάκερ κατάφεραν να κινηθούν πλευρικά προς τα συστήματα cloud της Κομισιόν και να αντλήσουν τα δεδομένα. Στη συνέχεια, οι ShinyHunters ανέλαβαν τη δημοσίευση του υλικού στο διαδίκτυο, σε προφανή προσπάθεια εκβιασμού και πίεσης προς τα εμπλεκόμενα μέρη.
Η TeamPCP, σύμφωνα με εταιρείες ασφάλειας που παρακολουθούν τη δράση της, δεν περιορίζεται σε επιθέσεις εφοδιαστικής αλυσίδας, αλλά έχει συνδεθεί με ransomware και καμπάνιες κρυπτο-εξόρυξης. Η στοχοποίηση προγραμματιστών και διαχειριστών με πρόσβαση σε «κλειδιά» κρίσιμων συστημάτων δημιουργεί για τους δράστες δυνατότητα ομηρίας ολόκληρων οργανισμών, με αιτήματα λύτρων και εκβιασμούς.
Η Ευρωπαϊκή Επιτροπή, μέσω εκπροσώπου της, ανέφερε ότι θα τοποθετηθεί αναλυτικά όταν επαναλειτουργήσει πλήρως, ενώ η CERT-EU βρίσκεται ήδη σε επαφή με τους επηρεαζόμενους οργανισμούς. Για τα κράτη-μέλη, συμπεριλαμβανομένης της Ελλάδας, η υπόθεση λειτουργεί ως ηχηρή προειδοποίηση για την ανάγκη ενίσχυσης της ασφάλειας σε cloud υποδομές και ανοιχτού κώδικα εργαλεία που χρησιμοποιούνται ευρέως στη δημόσια διοίκηση.
Σχόλιο 
: Η επίθεση στην Κομισιόν δείχνει ότι το «αδύναμο σημείο» δεν είναι πάντα ο ίδιος ο οργανισμός, αλλά οι κρίκοι της εφοδιαστικής αλυσίδας λογισμικού και οι εξωτερικές cloud υπηρεσίες. Για την ΕΕ, το διακύβευμα δεν είναι μόνο η προστασία προσωπικών δεδομένων, αλλά και η αξιοπιστία των θεσμών σε ένα περιβάλλον γεωπολιτικής έντασης και υβριδικών απειλών. Η Αθήνα οφείλει να διαβάσει την υπόθεση ως προειδοποίηση: χωρίς αυστηρή διαχείριση κλειδιών πρόσβασης, ελέγχους στον ανοιχτό κώδικα και κοινά ευρωπαϊκά πρότυπα για το δημόσιο cloud, η επόμενη κρίση μπορεί να χτυπήσει πολύ πιο κοντά.
#ΕΕ #Κυβερνοασφάλεια #ΕυρωπαϊκήΕπιτροπή #ΔιαρροήΔεδομένων
