کمیسیون اروپا پس از مسموم کردن ابزار امنیتی منبع باز Trivy توسط هکرها رخنه کرد

CERT-EU یک نقض بزرگ داده در کمیسیون اروپا را به گروه جرایم سایبری TeamPCP نسبت داده است که از یک حمله زنجیره تامین به ابزار امنیتی منبع باز Trivy برای سرقت 92 گیگابایت داده فشرده از زیرساخت AWS کمیسیون سوء استفاده کرد. سپس باند بدنام ShinyHunters این داده ها را منتشر کرد که شامل ایمیل ها و اطلاعات شخصی 71 مشتری در سراسر موسسات اتحادیه اروپا بود. این نقض شکنندگی زنجیره تامین نرم‌افزار منبع باز را که زیربنای ابزارهای امنیتی است که دولت‌ها به آنها تکیه می‌کنند، آشکار می‌کند.

تیم واکنش اضطراری کامپیوتری اتحادیه اروپا روز پنجشنبه اعلام کرد که حمله زنجیره تامین به یک اسکنر امنیتی منبع باز کلیدهای زیرساخت ابری کمیسیون اروپا را به هکرها داد که منجر به سرقت و نشت عمومی تقریباً 92 گیگابایت از داده های فشرده از جمله اطلاعات شخصی و محتوای ایمیل کارکنان در ده ها موسسه اتحادیه اروپا شد.

CERT-EU این نقض را به TeamPCP نسبت داد، یک گروه جرایم سایبری که در شش هفته گذشته به طور سیستماتیک ابزارهایی را که سازمان‌ها برای دفاع از خود استفاده می‌کنند به خطر انداخته است. این داده‌ها متعاقباً توسط ShinyHunters، باند بدنام اخاذی که مسئول نقض‌های Ticketmaster، AT&T و بیش از 60 شرکت دیگر است، به صورت آنلاین منتشر شد. انتساب دوگانه، یک گروه برای هک و گروه دیگر برای نشت، در تحقیقات جرایم سایبری غیرمعمول است و نشان دهنده یک اکوسیستم رو به رشد تخصص در میان اپراتورهای جنایی است.

حمله در 19 مارس زمانی آغاز شد که کمیسیون اروپا به طور ناآگاهانه یک نسخه در معرض خطر Trivy را دانلود کرد، یک اسکنر آسیب‌پذیری منبع باز پرکاربرد که توسط Aqua Safety نگهداری می‌شود. TeamPCP پس از نقض قبلی مخزن GitHub Trivy در اواخر فوریه، از یک چرخش اعتبار ناقص سوء استفاده کرده بود و دسترسی باقیمانده به کد مخرب اجباری فشار به 76 تگ از 77 نسخه موجود در مخزن trivy-action را حفظ کرد. هنگامی که خط لوله امنیتی خودکار کمیسیون به روز رسانی مسموم را انجام داد، بدافزار یک کلید API AWS را برداشت که به مهاجمان امکان دسترسی به حساب ابری کمیسیون در خدمات وب آمازون را می داد.

💜 تکنولوژی اتحادیه اروپا

آخرین اخبار از صحنه فناوری اتحادیه اروپا، داستانی از بنیانگذار پیر خردمند ما، بوریس، و برخی هنرهای مشکوک هوش مصنوعی. هر هفته در صندوق ورودی شما رایگان است. همین الان ثبت نام کنید

از آنجا، نفوذ آنچه را که واحد 42 در شبکه های پالو آلتو به عنوان یک کمپین شناسایی روشمند توصیف کرد، دنبال کرد. مهاجمان از TruffleHog، ابزاری که برای اسکن اطلاعات ابری طراحی شده است، برای جستجوی اسرار بیشتر استفاده کردند. سپس یک کلید دسترسی جدید ایجاد شده را به یک کاربر موجود وصل کردند تا قبل از برشمردن کاربران و نقش‌های IAM، نمونه‌های EC2، توابع Lambda، پایگاه‌های داده RDS، سطل‌های S3 و مناطق میزبان مسیر 53، از شناسایی فرار کنند. تمرکز بر روی خوشه‌های ECS، نقشه‌برداری تعاریف وظایف برای یافتن اهداف برای دسترسی مستقیم به کانتینر و خروج انبوه از AWS Secrets and techniques Supervisor بود.

مرکز عملیات امنیت سایبری کمیسیون اروپا تا 24 مارس، پنج روز پس از توافق اولیه، زمانی که هشدارها سوء استفاده احتمالی از APIهای آمازون و افزایش غیرعادی ترافیک شبکه را نشان می‌داد، فعالیت غیرعادی را شناسایی نکرد. کمیسیون این حادثه را در 27 مارس علنا ​​فاش کرد. یک روز بعد، ShinyHunters مجموعه داده را در سایت تاریک وب خود منتشر کرد.

مقیاس قرار گرفتن در معرض قابل توجه است. داده های دزدیده شده مربوط به وب سایت هایی است که برای حداکثر 71 مشتری سرویس میزبانی وب Europa.eu میزبانی شده اند: 42 مشتری داخلی کمیسیون اروپا و حداقل 29 نهاد اتحادیه اروپا. CERT-EU مجموعه داده منتشر شده را تأیید کرد، تقریباً 340 گیگابایت غیرفشرده، حاوی نزدیک به 52000 فایل از ارتباطات ایمیل خروجی، همراه با لیستی از نام‌ها، نام‌های کاربری، و آدرس‌های ایمیل. آژانس‌هایی که بالقوه تحت تأثیر قرار می‌گیرند عبارتند از: آژانس دارویی اروپا، سازمان بانکداری اروپا، خود ENISA و Frontex، آژانس مرزی و گارد ساحلی اتحادیه اروپا.

مصالحه Trivy یک حادثه مجزا نبود. بین 19 و 27 مارس، TeamPCP آنچه را که شبکه های Palo Alto یک کمپین سیستماتیک علیه زیرساخت های امنیتی منبع باز نامید، انجام داد. پس از Trivy، این گروه Checkmarx KICS را هدف قرار داد، یک اسکنر زیرساخت به‌عنوان کد، که در 21 مارس، تعهدات مخرب را به تمام 35 تگ نسخه فشار می‌دهد. آنها سپس به LiteLLM، یک ابزار دروازه هوش مصنوعی، چرخیدند، زیرا خط لوله CI/CD BerriAI از Trivy برای اسکن استفاده می‌کرد، و trivy-action مسموم، یک توکن انتشار PyPI را جمع‌آوری کرد که به مهاجمان اجازه می‌داد بسته‌های مخرب را مستقیماً به فهرست بسته Python فشار دهند. هر ابزار به خطر افتاده تبدیل به یک بردار برای رسیدن به هدف بعدی شد و یک حمله زنجیره تامین آبشاری ایجاد کرد که سازمان‌هایی را فراتر از کمیسیون اروپا تحت تأثیر قرار داد.

مفاهیم برای چارچوب‌های حکومتی که اروپا سال‌ها صرف ساختن آن کرده است ناراحت هستند مقررات امنیت سایبری اتحادیه اروپا که در سال 2023 تصویب شد، برای اطمینان از انعطاف پذیری سازمانی در برابر دقیقاً این نوع حمله طراحی شده است. دستورالعمل NIS2 مدیران سطح هیئت مدیره را مستقیماً در قبال شکست‌های امنیت سایبری، با مجازات‌هایی از جمله جریمه و رد صلاحیت، مسئول می‌داند. با این حال، زیرساخت های خود کمیسیون از طریق یک بردار، یک به روز رسانی مسموم برای یک ابزار اسکن امنیتی، که کاملاً در نقطه کور بین مدیریت زنجیره تامین و حفاظت در زمان اجرا قرار می گیرد، در معرض خطر قرار گرفت.

TeamPCP که با نام‌های DeadCatx3، PCPcat و ShellForce نیز ردیابی می‌شود، توسط CrowdStrike، Wiz و SANS به عنوان یک عامل تهدید بومی ابری ثبت شده است که از APIهای Docker، خوشه‌های Kubernetes و سرورهای Redis با پیکربندی نادرست سوء استفاده می‌کند. این گروه با کمپین‌های باج‌افزار، استخراج داده‌ها، و کمپین‌های استخراج رمزنگاری مرتبط است و اخیراً اعلام کرده است که با CipherForce، گروه باج‌افزار دیگری، همکاری می‌کند تا داده‌های نقض را منتشر کند. حرفه ای سازی عملیات مجرمانه سایبری، که در آن متخصصان دسترسی اولیه، جابجایی جانبی و اخاذی از داده ها در سراسر مرزهای سازمانی همکاری می کنند، منعکس کننده تقسیم کار است که قانونی می کند. شرکت های امنیت سایبری به سرعت در حال گسترش هستند.

ShinyHunters، به نوبه خود، یک مقدار شناخته شده است. این سندیکا از سال 2020 فعالیت خود را آغاز کرده است و مالک فروم های نفوذ، یکی از فعال ترین بازارهای وب تاریک برای داده های سرقت شده است. سباستین رائول، تبعه فرانسوی، به دلیل نقشش در عملیات قبلی این گروه به سه سال زندان در سیاتل محکوم شد، اما سازمان به فعالیت خود ادامه داده است. مشارکت آن در انتشار داده‌های کمیسیون یا رابطه مستقیم با TeamPCP یا پویایی بازار را نشان می‌دهد که در آن داده‌های دزدیده شده به مؤثرترین توزیع‌کننده راه پیدا می‌کنند.

این نقض در لحظه حساسی برای حاکمیت دیجیتال اتحادیه اروپا رخ می دهد. کمیسیون برای بخش‌هایی از زیرساخت وب خود به AWS متکی است، وابستگی که توسط قانونگذاران اروپایی که استدلال می‌کنند سیستم‌های دولتی مهم باید بر روی ارائه‌دهندگان ابری اروپایی اجرا شوند، مورد بررسی قرار گرفته است. نفوذی که از یک ابزار منبع باز به خطر افتاده تا یک پلتفرم ابری آمریکایی تا یک سایت نشت وب تاریک که توسط یک سندیکای جنایتکار بین‌المللی اداره می‌شود، هیچ کمکی به رفع این نگرانی‌ها نخواهد کرد. با این حال، بحث در مورد اینکه آیا جاه طلبی های نظارتی اتحادیه اروپا با امنیت عملیاتی مؤسسات خود مطابقت دارد.

برای صنعت فناوری گسترده تر، درس فوری تر است. ابزارهای منبع باز امنیتی که سازمان‌ها برای اسکن کد، بررسی زیرساخت‌ها و تأیید انطباق آن‌ها استفاده می‌کنند، ابزارهایی که قرار است آخرین خط دفاعی باشند، به سطح حمله تبدیل شده‌اند. Trivy به تنهایی توسط هزاران سازمان در سراسر جهان استفاده می شود. هنگامی که اسکنر به سلاح تبدیل می شود، کل مدل امنیتی خودکار خراب می شود و مفروضات اعتماد زیرساخت نرم افزار مدرن با آن فرو بریزد

CERT-EU پاسخگویی به حادثه را تحت مقررات امنیت سایبری اتحادیه اروپا هماهنگ می کند و به تجزیه و تحلیل مجموعه داده منتشر شده ادامه می دهد. برای 71 مشتری که ممکن است داده‌هایشان در معرض خطر قرار گرفته باشد، فرآیند اصلاح تازه شروع شده است. برای اکوسیستم تکنولوژی اروپا که به همان ابزارهای منبع باز و زیرساخت ابری متکی است، نقض یک هشدار است که خیلی دیر رسیده است.