Le Service de cybersécurité de l’Union européenne (CERT-EU) a identifié le groupe de cybercriminalité TeamPCP comme responsable du piratage de l’environnement cloud de la Commission européenne, ce qui a permis l’exposition des données d’au moins 29 autres entités de l’Union. L’incident a été rendu public le 27 mars, suite à une demande de confirmation de la part de BleepingComputer concernant la violation de la plateforme cloud d’Amazon utilisée par la Commission.
Deux jours auparavant, la Commission avait informé CERT-EU de l’intrusion, précisant que son Centre opérationnel de cybersécurité n’avait pas détecté de signalements d’utilisation abusive d’API, de compromissions de comptes ou de trafic réseau anormal avant le 24 mars, soit cinq jours après l’attaque initiale.
Le 10 mars, TeamPCP exploitait une clé API Amazon Web Services compromise, détenue auparavant par les comptes AWS de la Commission, obtenue lors d’une attaque de la chaîne d’approvisionnement via Trivy, pour accéder à l’environnement cloud. Par la suite, les attaquants ont utilisé l’outil TruffleHog pour rechercher des informations sensibles, créant une nouvelle clé d’accès pour un utilisateur afin d’éviter toute détection avant de procéder à des activités de reconnaissance et de vol de données.
Ce groupe a également été lié à des attaques de chaîne d’approvisionnement ciblant divers autres plateformes de développement de code, notamment GitHub, PyPi, NPM et Docker. Ils ont compromis le paquet LiteLLM PyPI dans une attaque touchant des dizaines de milliers d’appareils utilisant leur malware « TeamPCP Cloud Stealer ».
Données divulguées sur le dark web par ShinyHunters
Le 28 mars, le groupe de rançon ShinyHunters a publié un ensemble de données volées sur leur site de fuite sur le dark web, consistant en une archive de documents de 90 Go (environ 340 Go une fois décompressée), contenant des noms, adresses électroniques et contenus des courriels.
L’analyse de CERT-EU a révélé que les acteurs de la menace avaient volé des dizaines de milliers de fichiers comportant des informations personnelles, dont des noms d’utilisateur, adresses courriel et contenus de messages, affectant potentiellement 42 clients internes de la Commission européenne et au moins 29 autres entités utilisant le service d’hébergement europa.eu.
Selon CERT-EU, les acteurs de la menace ont utilisé la clé secrète AWS compromise pour exfiltrer des données de l’environnement cloud affecté. Les informations exfiltrées concernent des sites hébergés pour jusqu’à 71 clients du service d’hébergement Europa, incluant 42 clients internes et 29 autres entités. L’analyse du jeu de données publié a confirmé la présence de données personnelles, notamment des listes de noms, prénoms, noms d’utilisateur et adresses électroniques, principalement issues des sites web de la Commission européenne, mais potentiellement de différents utilisateurs au sein des entités de l’Union.
La fuite comprend également au moins 51 992 fichiers liés aux communications de courriels sortants, totalisant 2,22 Go. La majorité de ces fichiers sont des notifications automatisées avec peu ou pas de contenu. Cependant, les notifications de « bounce-back », qui répondent à des messages entrants d’utilisateurs, peuvent contenir des contenus originaux soumis par les utilisateurs, posant un risque d’exposition de données personnelles.
Bien que l’analyse des bases de données et des fichiers exfiltrés soit en cours et nécessite probablement « un temps considérable », la Commission a informé les autorités de protection des données concernées et est en communication directe avec les entités touchées.
En février, la Commission européenne avait déjà signalé une autre violation de données après la découverte qu’une plateforme de gestion des appareils mobiles utilisée pour contrôler les dispositifs du personnel avait également été piratée.