Grupa hakera poznata kao ShinyHunters izvela je masovni sajber napad na sisteme Evropske komisije, uspjevši da iz cloud infrastrukture platforme Europa.eu izvuče čak 350 gigabajta povjerljivih podataka. Incident je zvanično potvrđen, a tvrdnje o krađi podataka prvo su se pojavile na dark web sajtu grupe, gdje tradicionalno objavljuju ili prodaju plijen iz prethodnih napada.

Prema saopćenju Komisije, napad je otkriven 24. marta, nakon čega su hitno preduzete mjere za njegovo zaustavljanje, bez prekida rada javnih sajtova. Iako se navodi da interni sistemi nisu direktno pogođeni, rani nalazi ukazuju da je došlo do eksfiltracije dijela podataka sa web platforme. Proces obavještavanja potencijalno pogođenih entiteta unutar EU je u toku.

Šta je sve ukradeno?

Podaci za koje ShinyHunters tvrde da ih posjeduju obuhvataju dumpove mejl servera, baze podataka, interne dokumente i ugovore. Iako potpuna verifikacija još uvijek nije završena, dostupni screenshotovi ukazuju na moguće prisustvo ličnih podataka zaposlenih. Dodatne analize bezbjednosnih istraživača sugerišu da kompromitacija može obuhvatati i DKIM ključeve za mejl komunikaciju, interne administratorske URL-ove, podatke iz NextCloud platforme te dijelove sistema povezanih sa finansijskim mehanizmom Athena.

Pominje se i mogućnost da je preuzet kompletan SSO direktorijum korisnika, što bi značajno povećalo rizik od daljih, ciljanih napada. Pojedini izvještaji sugerišu da su napadači pristup sistemima možda dobili preko naloga unutar Amazon Web Services infrastrukture, iako AWS negira da je došlo do bezbjednosnog propusta na njihovoj strani.

Potencijalne posljedice i profil napadača

Ako se obim krađe potvrdi, posljedice bi mogle biti dalekosežne. Curenje interne komunikacije, administrativnih zapisa i podataka o identitetu otvara prostor za sekundarne napade, poput preciznog spear-phishinga i zloupotrebe pristupa. ShinyHunters je grupa poznata po napadima na velike organizacije i cloud servise, sa prethodnim targetiranjem SSO sistema i platformi poput Salesforce. Također su poznati po vishing taktikama, gdje se predstavljaju kao IT podrška kako bi prevari korisnike da otkriju svoje kredencijale.

Kako ističu stručnjaci, ovakav incident, čak i bez klasične ucene, može imati ozbiljne posljedice po operativnu bezbjednost i međunarodno povjerenje. Istraga Evropske komisije je u punom tijeku, a njeni konačni rezultati će definisati da li je riječ o ograničenom incidentu ili ozbiljnijem bezbjednosnom slomu sa širim implikacijama za evropske institucije.