X

מתקפת הסייבר על האיחוד האירופי: כך נגנב המידע הסודי של הבכירים

דו"ח חדש של CERT-EU מאשר כי קבוצת ההאקרים TeamPCP היא שעומדת מאחורי הפריצה לחשבונות ה-AWS של הנציבות האירופית • עם יותר מ-90 גיגה-בייט של נתונים שדלפו, באירופה מנסים כעת להבין את גודל הנזק

שחר שפירו
, עודכן
0השמעה
מתקפת סייבר (אילוסטרציה). צילום: Gemini

מה שמתחיל בטעות אנוש קטנה של הורדת כלי אבטחה תמים, עלול להסתיים באחת מדליפות הנתונים המביכות והחמורות ביותר שידע האיחוד האירופי בשנים האחרונות. סוכנות הסייבר של האיחוד (CERT-EU) חשפה השבוע דוח מפורט המאשים כנופיית סייבר במתקפת שרשרת אספקה מתוחכמת, שהצליחה לחדור לתשתית הענן של הנציבות האירופית ולחשוף את פרטיהם של עשרות אלפי משתמשים. האירוע לא רק חושף את הפגיעות של מוסדות השלטון המרכזיים ביבשת, אלא גם מסמן עליית מדרגה בשיתוף הפעולה בין ארגוני פשיעת סייבר שונים.

הצליחו לחדור לתשתית הענן של הנציבות האירופית ולחשוף את פרטיהם של עשרות אלפי משתמשים, צילום: gettyimages

ביום חמישי האחרון אישרה סוכנות אבטחת הסייבר של האיחוד האירופי את מה שרבים חששו ממנו. הפריצה לגוף המבצעי של האיחוד, הנציבות האירופית, הייתה נרחבת ומתוחכמת בהרבה מכפי שדווח בתחילה. על פי הדו"ח הרשמי, קבוצת סייבר פושעת בשם TeamPCP הצליחה לחדור לחשבון ה-Amazon Web Services (AWS) של הנציבות ולגנוב כ-92 גיגה-בייט של נתונים דחוסים - כמות עצומה המכילה מידע אישי, שמות, כתובות אימייל ותכתובות פנימיות.

הפריצה פגעה בתשתית הענן של פלטפורמת Europa.eu, המשמשת את המדינות החברות באיחוד לאירוח אתרים רשמיים ופרסומים של מוסדות וסוכנויות האיחוד. לפי הנתונים שנחשפו, המידע שנגנב אינו מוגבל רק לנציבות עצמה; לפחות 29 גופים נוספים של האיחוד האירופי הושפעו מהאירוע, ועשרות לקוחות פנימיים של הנציבות חוו גניבת נתונים.

אחד ההיבטים המטרידים ביותר בפרשה הוא שיתוף הפעולה בין קבוצות פשיעה שונות. בעוד ש-TeamPCP הייתה האחראית על הפריצה עצמה והחדירה למערכות, המידע הגנוב פורסם ברשת על ידי קבוצה אחרת - ShinyHunters, קבוצה ידועה לשמצה שכבר עמדה מאחורי פריצות ענק לחברות כמו AT&T וטיקטמאסטר.

כיצד זה קרה ומה דלף?

הפריצה, שהחלה ב-19 במרץ, לא דרשה מההאקרים לפצח את חומות האש של האיחוד באופן ישיר. במקום זאת, הם השתמשו בטקטיקה המכונה "מתקפת שרשרת אספקה". הכל התחיל כאשר ההאקרים פרצו לכלי אבטחה פופולרי בקוד פתוח בשם Trivy, המשמש לסריקת פגיעויות. הנציבות האירופית, בצעד אירוני, הורידה גרסה נגועה של הכלי הזה לצורכי אבטחה.

דגלים מתנופפים מחוץ למטה האיחוד האירופי בבריסל, צילום: אי.פי

הגרסה המזוהמת אפשרה להאקרים לגנוב "מפתח API" סודי ששימש את הנציבות לגישה לחשבון ה-AWS שלה. ברגע שהמפתח היה בידיהם, הדרך לנתונים המאוחסנים בענן הייתה פתוחה לחלוטין.

CERT-EU עדיין מנתחת את עשרות אלפי הקבצים שפורסמו ברשת, אך כבר כעת ידוע כי לפחות 52 אלף קבצים הם הודעות אימייל שנשלחו. למרות שחלק גדול מההודעות הן אוטומטיות, מומחי הסייבר מזהירים כי הודעות שחזרו עם שגיאה (Bounced emails) עשויות להכיל את התוכן המקורי ששלחו המשתמשים, מה שמעמיד את פרטיותם של אזרחים ועובדי ציבור בסיכון ממשי.

סוכנות הסייבר כבר נמצאת בקשר עם הארגונים שנפגעו כדי לצמצם נזקים, אך הנציבות האירופית עצמה בחרה שלא להגיב באופן רשמי עד כה, בטענה שהמוסד סגור לרגל חופשה עד שבוע הבא.

קבוצת TeamPCP, שקושרה בעבר למתקפות כופר וכריית קריפטו, מסומנת כעת על ידי חברות אבטחה כמו Palo Alto Networks כמי שמנהלת קמפיין שיטתי נגד מפתחים ופרויקטי קוד פתוח. על ידי פגיעה במפתחים המחזיקים במפתחות למערכות רגישות, ההאקרים מצליחים לעקוף את אמצעי האבטחה המסורתיים ביותר.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
איחוד אירופימתקפת סייבר

כדאי להכיר