Cơ quan an ninh mạng châu Âu cáo buộc các băng nhóm hacker gây ra vụ rò rỉ và xâm phạm dữ liệu quy mô lớn

Cơ quan An ninh Mạng Châu Âu đổ lỗi cho các băng nhóm hacker về vụ rò rỉ và xâm phạm dữ liệu quy mô lớn

Cơ quan an ninh mạng của Liên minh Châu Âu hôm thứ Năm cho biết vụ hack và xâm phạm dữ liệu gần đây tại cơ quan hành pháp của EU là do một nhóm tội phạm mạng có tên TeamPCP thực hiện. Trong một báo cáo mới, CERT-EU cũng báo cáo rằng các hacker đã đánh cắp khoảng 92 gigabyte dữ liệu nén từ một tài khoản Amazon Web Services (AWS) bị xâm phạm do cơ quan hành pháp của khối, Ủy ban Châu Âu, sử dụng, bao gồm dữ liệu cá nhân chứa tên, địa chỉ email và nội dung email. Vụ xâm phạm ảnh hưởng đến cơ sở hạ tầng đám mây của nền tảng Europa.eu của Ủy ban, nơi các quốc gia thành viên sử dụng để lưu trữ các trang web và ấn phẩm của các tổ chức và cơ quan của khối.

CERT-EU viết rằng dữ liệu của ít nhất 29 tổ chức EU khác có thể bị ảnh hưởng và hàng chục khách hàng nội bộ của Ủy ban Châu Âu cũng có thể bị đánh cắp dữ liệu. Dữ liệu bị đánh cắp sau đó đã được đăng trực tuyến bởi một nhóm hacker khác, ShinyHunters khét tiếng. Mặc dù quy mô của vụ xâm phạm dữ liệu tự nó đã đáng chú ý, nhưng việc hack và rò rỉ dữ liệu của Ủy ban Châu Âu sau đó bởi hai nhóm hacker riêng biệt cho thấy một xu hướng ngày càng tăng của tội phạm mạng làm việc cùng nhau để tống tiền nạn nhân của chúng.

CERT-EU cho biết vụ xâm phạm bắt nguồn từ ngày 19 tháng 3 khi các hacker có được khóa API bí mật liên quan đến tài khoản AWS của Ủy ban Châu Âu, sau một vụ hack trước đó nhắm vào công cụ bảo mật mã nguồn mở Trivy. Ủy ban vô tình tải xuống một bản sao của công cụ Trivy bị xâm phạm sau vụ xâm phạm gần đây của dự án, cho phép các hacker đánh cắp khóa API bí mật của nó và sử dụng quyền truy cập đó để xoay sở lấy dữ liệu được lưu trữ trong tài khoản AWS của Ủy ban. Trong khi dịch vụ cho biết họ vẫn đang phân tích dữ liệu được công bố trực tuyến, gần 52.000 tệp chứa các tin nhắn email đã gửi. CERT-EU cho biết phần lớn các email này được tự động hóa với ít hoặc không có nội dung, nhưng các email bị trả lại kèm theo lỗi "có thể chứa nội dung do người dùng gửi ban đầu, gây ra rủi ro phơi bày dữ liệu cá nhân". CERT-EU cho biết họ đã liên hệ với các tổ chức bị ảnh hưởng.

Liên hệ với chúng tôi

Bạn có thêm thông tin về vụ xâm phạm này? Hoặc các cuộc tấn công mạng khác? Từ một thiết bị không phải của công ty, bạn có thể liên hệ an toàn với Lorenzo Franceschi-Bicchierai trên Signal theo số +1 917 257 1382, hoặc qua Telegram và Keybase @lorenzofb, hoặc email.

Một người phát ngôn của Ủy ban Châu Âu nói với TechCrunch rằng cơ quan này đóng cửa cho đến tuần tới và sẽ trả lời yêu cầu bình luận sau đó. Một thành viên của ShinyHunters đã không trả lời các yêu cầu bình luận. Bên cạnh vụ xâm phạm Trivy, TeamPCP đã được liên kết với các cuộc tấn công ransomware và các chiến dịch khai thác tiền điện tử, Aqua Security, công ty phát triển Trivy cho biết. Các hacker gần đây đã đứng sau một chiến dịch có hệ thống các cuộc tấn công chuỗi cung ứng làm tổn hại đến các dự án bảo mật mã nguồn mở khác, theo Palo Alto Networks Unit 42. Bằng cách nhắm mục tiêu vào các nhà phát triển có khóa để truy cập các hệ thống nhạy cảm, các hacker "sau đó có khả năng giữ các tổ chức bị xâm phạm để đòi tiền chuộc, yêu cầu thanh toán tống tiền", Unit 42 viết.

Lorenzo Franceschi-Bicchierai là Nhà văn cấp cao tại TechCrunch, nơi anh đưa tin về hack, an ninh mạng, giám sát và quyền riêng tư. Bạn có thể liên hệ hoặc xác minh việc tiếp cận từ Lorenzo bằng cách gửi email lorenzo@techcrunch.com, qua tin nhắn được mã hóa theo số +1 917 257 1382 trên Signal và @lorenzofb trên Keybase/Telegram.