L’agence de cybersécurité de l’Union européenne a déclaré jeudi qu’un récent piratage et violation de données au sein de l’organe exécutif de l’UE était l’œuvre d’un groupe cybercriminel connu sous le nom de TeamPCP.
Dans un nouveau rapport, le CERT-EU a également signalé que les pirates ont volé environ 92 gigaoctets de données compressées à partir d’un compte Amazon Web Services (AWS) compromis utilisé par l’exécutif du bloc, la Commission européenne, qui comprenait des données personnelles contenant des noms, des adresses e-mail et le contenu des e-mails.
La violation a affecté l’infrastructure cloud de la plateforme Europa.eu de la Commission, que les États membres utilisent pour héberger les sites Web et les publications des institutions et agences du bloc.
Le CERT-EU a écrit que les données d’au moins 29 autres entités de l’UE pourraient être affectées et que des dizaines de clients internes de la Commission européenne auraient également pu se voir voler leurs données.
Les données volées ont ensuite été mises en ligne par un autre groupe de hackers, le fameux ShinyHunters.
Même si l’ampleur de la violation de données est elle-même remarquable, le piratage et la fuite ultérieure des données de la Commission européenne par deux groupes de pirates informatiques distincts mettent en évidence une tendance croissante des cybercriminels à travailler ensemble pour extorquer leurs victimes.
Le CERT-EU a déclaré que la violation a eu lieu le 19 mars lorsque des pirates ont acquis une clé API secrète associée au compte AWS de la Commission européenne, à la suite d’un piratage antérieur ciblant l’outil de sécurité open source Trivy. La Commission a téléchargé par inadvertance une copie de l’outil Trivy compromis à la suite de la récente violation du projet, permettant aux pirates informatiques de voler sa clé API secrète et d’utiliser cet accès pour pivoter afin d’obtenir des données stockées dans le compte AWS de la Commission.
Bien que le service indique qu’il continue d’analyser les données publiées en ligne, près de 52 000 fichiers contiennent des e-mails envoyés. Le CERT-EU a déclaré que la majorité de ces e-mails sont automatisés avec peu ou pas de contenu, mais que les e-mails renvoyés avec une erreur « peuvent contenir le contenu original soumis par l’utilisateur, ce qui présente un risque d’exposition des données personnelles ».
Le CERT-EU a déclaré qu’il était déjà en contact avec des organismes affectés.
Contactez-nous
Avez-vous plus d’informations sur cette violation ? Ou d’autres cyberattaques ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Un porte-parole de la Commission européenne a déclaré à TechCrunch que l’organisme était fermé jusqu’à la semaine prochaine et qu’il répondrait alors à une demande de commentaires.
Un membre de ShinyHunters n’a pas répondu aux demandes de commentaires.
Outre la faille Trivy, TeamPCP a été associé à des attaques de ransomwares et à des campagnes de crypto-minage, explique Aqua Security, qui développe Trivy. Les pirates ont plus récemment été à l’origine d’une campagne systématique d’attaques sur la chaîne d’approvisionnement compromettant d’autres projets de sécurité open source, selon l’unité 42 de Palo Alto Networks.
En ciblant les développeurs avec des clés pour accéder aux systèmes sensibles, les pirates « ont alors la possibilité de retenir les organisations compromises contre une rançon, exigeant des paiements d’extorsion », a écrit l’Unité 42.

