Hakerska grupa ShinyHunters objavila je da je kompromitovala sisteme Evropske komisije i došla do više od 350 GB podataka.
Tvrdnja se prvo pojavila na njihovom dark web sajtu, gdje grupa tradicionalno objavljuje ili prodaje podatke iz ranijih incidenata. U međuvremenu, Evropska komisija je zvanično potvrdila da je zaista došlo do sajber incidenta i da su podaci vjerovatno preuzeti iz cloud infrastrukture koja podržava platformu Europa.eu.
Prema zvaničnom saopštenju, napad je otkriven 24. marta, nakon čega su preduzete hitne mjere kako bi se incident zaustavio bez prekida rada sajtova. Komisija navodi da interni sistemi nisu pogođeni, ali rani nalazi ukazuju da je dio podataka sa web platforme ipak eksfiltriran. U toku je obavještavanje potencijalno pogođenih entiteta unutar EU.
Podaci koje ShinyHunters tvrdi da posjeduje uključuju dumpove mail servera, baze podataka, interne dokumente i ugovore. Iako potpuna verifikacija još nije moguća, dostupni screenshotovi ukazuju na moguće prisustvo ličnih podataka zaposlenih.
Dodatne analize bezbjednosnih istraživača ukazuju da bi kompromitacija mogla obuhvatiti i email komunikaciju i DKIM ključeve, interne administratorske URL-ove, podatke iz NextCloud platforme, kao i dijelove sistema povezanih sa finansijskim mehanizmom Athena. Pominje se i mogućnost da je preuzet kompletan SSO direktorijum korisnika, što bi značajno povećalo rizik od daljih napada.
Pojedini izvještaji sugerišu da su napadači mogli pristupiti sistemima preko naloga u okviru Amazon Web Services, iako AWS negira da je došlo do bezbjednosnog propusta u njihovoj infrastrukturi.
Ako se obim kompromitacije potvrdi, posljedice ne bi bile ograničene na curenje podataka. Interna komunikacija, administrativni zapisi i podaci o identitetu zaposlenih mogu otvoriti prostor za sekundarne napade, uključujući spear-phishing i zloupotrebu pristupa.
ShinyHunters je poznat po napadima na velike organizacije i cloud servise. Grupa je ranije targetirala SSO sisteme i platforme poput Salesforce, a poznata je i po vishing taktikama, gdje se napadači predstavljaju kao IT podrška kako bi prevarili korisnike da otkriju kredencijale.
Kako ističu stručnjaci, čak i bez klasične ucjene, ovakav incident može imati ozbiljne posljedice po operativnu bezbjednost, povjerenje i međunarodne procese. "Tiho curenje" podataka može biti jednako štetno kao i ransomware napadi.
U ovom trenutku jasno je da se napad zaista dogodio i da je došlo do eksfiltracije, ali ključna pitanja ostaju otvorena - koji tačno podaci su kompromitovani i koliki je njihov stvarni značaj. Istraga Evropske komisije je u toku, a njeni rezultati će definisati da li je riječ o ograničenom incidentu ili ozbiljnijem bezbjednosnom incidentu sa širim implikacijama.
(Informacija/Mondo)