Europa.eu incidens
A CERT-EU elemzés ismerteti az Európai Bizottság rendszere elleni incidens esetét. A támadás kiindulópontja az volt, hogy a European Commission egy kompromittált verzióját használta a Trivy nevű open-source vulnerability scannernek, amelyet normál frissítési csatornán keresztül kapott meg. Nem történt klasszikus exploit vagy behatolás, hanem a támadók a szoftverellátási láncot mérgezték meg, és így jutottak be a rendszerbe.
A kompromittált Trivy verzió segítségével a támadók megszereztek egy AWS API kulcsot, amely hozzáférést biztosított a Bizottság cloud infrastruktúrájához. Ezt követően gyorsan létrehoztak új hozzáférési kulcsokat, felderítést végeztek, majd további információkat próbáltak kinyerni például TruffleHog eszközzel.
A művelet fő célja adatgyűjtés volt. A támadók végül több mint 300–340 GB adatot exfiltráltak az Europa.eu platform mögötti AWS környezetből, amely több tucat EU-s szervezet webes infrastruktúráját szolgálja ki. Az érintett kör jelentős, legalább 42 bizottsági szervezet és további mintegy 29 uniós entitás adatai kerülhettek ki.
A megszerzett adatokat később a ShinyHunters csoport publikálta a dark weben, ami azt jelzi, hogy a művelet kétfázisú volt, az initial access és adatlopás után egy külön szereplő végezte az extorziós publikálást.
A támadók nem a védelmi mechanizmusokat kerülték meg, hanem magát a védelmi eszközt fordították a rendszer ellen. A Trivy eredetileg sérülékenységek felderítésére szolgál, azonban kompromittált állapotban titkokat gyűjtő és exfiltráló komponensként működött, különösen CI/CD és cloud környezetekben, ahol eleve magas jogosultsággal fut.
Az CERT-EU értékelése szerint az ilyen támadások jelentősége növekszik, mert egyetlen kompromittált eszközön keresztül széles körű, több szervezetet érintő hozzáférés érhető el. A klasszikus peremvédelem ebben a modellben kevésbé releváns, mivel a támadás a legitim működési láncon belül történik, látszólag normál folyamatként.
