欧盟网络安全机构 CERT-EU 确认,黑客组织 TeamPCP 入侵了欧洲委员会的云服务,窃取了约 92GB 的数据。此次攻击通过窃取一个被篡改的开源安全工具的 API 密钥 实现,导致个人信息和邮件内容泄露。被盗数据随后被另一黑客组织 ShinyHunters 公开,暴露了供应链攻击带来的严重安全风险。
一次复杂的双重黑客攻击
此次事件的归因不同寻常,涉及两个独立的黑客组织。
数据窃取者:TeamPCP 该组织被指是最初的攻击者,从欧洲委员会的云账户中窃取了数据。
数据泄露者:ShinyHunters 这个臭名昭著的组织获取了 TeamPCP 窃取的部分数据,并将其公之于众。
攻击路径:一个被篡改的开源工具
这次数据泄露的根本原因是一次巧妙的供应链攻击。
- 源头: 开源安全工具 Trivy 的项目本身先遭到了黑客攻击。
- 植入: 欧洲委员会无意中下载了被篡改过的 Trivy 工具副本。
- 密钥失窃: 这个被篡改的工具使其亚马逊云服务 (AWS) 的 API 密钥被黑客窃取。
- 数据被盗: 黑客利用这个密钥,直接访问并下载了存储在委员会云账户中的大量数据。
泄露的数据与潜在风险
被盗数据量巨大,其内容涉及潜在的个人信息泄露。
- 数据规模: 约 92GB 的压缩文件,影响至少 29 个欧盟实体。
- 邮件内容: 文件中包含近 52,000 封已发送的电子邮件。
- 主要风险: 大部分邮件是自动生成的,但存在一个特定风险。
那些因投递错误而退回的邮件“可能包含用户提交的原始内容,构成个人数据泄露的风险。”
目前,欧盟网络安全机构 CERT-EU 正在联系所有受影响的组织以采取应对措施。
黑客组织及其动机
TeamPCP 此前就与其他网络犯罪活动有关,包括勒索软件攻击和加密货币挖矿。安全专家指出,该组织近期的攻击模式是:
- 系统性地攻击开源安全项目。
- 目标是窃取开发者手中能访问敏感系统的密钥。
- 最终目的通常是“向受害组织索要赎金”。