O Serviço de Cibersegurança da União Europeia, conhecido como CERT-EU, confirmou que o recente ataque informático à infraestrutura na nuvem da Comissão Europeia resultou na exposição de dados de pelo menos 29 outras entidades do bloco europeu. A autoria da invasão foi atribuída ao grupo de piratas informáticos TeamPCP, que comprometeu os sistemas e acedeu a informações sensíveis da organização.
A Comissão Europeia revelou publicamente o incidente no dia 27 de março. Dois dias antes, a entidade já tinha notificado o CERT-EU sobre a invasão, admitindo que o seu Centro de Operações de Cibersegurança não detetou o uso indevido da API nem o tráfego de rede anómalo até ao dia 24 de março, o que representa uma falha de deteção de cinco dias após a intrusão inicial.
O método de ataque e o roubo de credenciais
A invasão começou a ganhar forma a 10 de março, quando o grupo TeamPCP utilizou uma chave de API comprometida. Esta chave, roubada durante o ataque à cadeia de abastecimento do Trivy, possuía direitos de gestão sobre outras contas AWS da Comissão Europeia, permitindo a entrada na infraestrutura principal.
Na fase seguinte, os criminosos recorreram ao TruffleHog, uma ferramenta de pesquisa e validação de credenciais, para localizar chaves adicionais escondidas na plataforma. Para evitar a deteção pelas ferramentas de segurança, associaram uma nova chave de acesso a um utilizador já existente, o que lhes permitiu explorar a rede e extrair os dados de forma silenciosa. Este grupo tem um historial de ataques semelhantes a plataformas de código e programadores, incluindo incidentes no GitHub, PyPi, NPM e Docker, além de ter comprometido pacotes LiteLLM com o seu malware de roubo de informação Cloud Stealer.
Fuga de dados na dark web e impacto nas entidades
A situação atingiu uma nova dimensão a 28 de março, quando o grupo de extorsão ShinyHunters publicou os dados roubados num fórum na dark web. A fuga consiste num arquivo de 90 GB (cerca de 340 GB após descompressão) que inclui nomes, endereços e conteúdos de correio eletrónico institucionais.
A análise do CERT-EU confirmou que os atacantes extraíram dezenas de milhares de ficheiros com informações pessoais. O impacto direto afeta até 71 clientes do serviço de alojamento web Europa, distribuídos por 42 clientes internos da Comissão Europeia e pelo menos 29 outras entidades da União. O conjunto de dados expostos abrange listas de nomes, nomes de utilizador e emails, bem como 51.992 ficheiros de comunicações de saída de email (totalizando 2,22 GB). Embora a maioria sejam notificações automáticas, as respostas do sistema podem conter mensagens originais submetidas pelos utilizadores, aumentando o risco de exposição.
Apesar da gravidade do incidente, as autoridades europeias garantem que nenhum site foi desativado ou manipulado, não tendo sido detetada qualquer movimentação lateral para outras contas da Comissão. A análise da fuga de informação continua a decorrer, enquanto a Comissão Europeia já informou as autoridades de proteção de dados e as entidades afetadas. Recorde-se que, ainda em fevereiro, a instituição tinha divulgado outra falha de segurança num sistema de gestão de dispositivos móveis dos seus funcionários.
Nenhum comentário
Seja o primeiro!