El Servicio de Ciberseguridad para las Instituciones, los Órganos y los Organismos de la Unión (CERT-EU) ha atribuido el orígen de una brecha de seguridad que ha afectado a los sistemas de la Comisión Europea a dos grupos criminales que habrían comprometido infraestructuras clave en el ecosistema digital de la UE tras sustraer una cuenta de AWS.
La Unión Europea ha puesto el foco en un reciente ataque criminal coordinado por hackers, tras robar 92GB de información que había alojada en una cuenta utilizada por la Comisión para alojar servicios vinculados a la plataforma Europa.eu, donde habrían sustraído información personal como nombres, direcciones de correo electrónico y el contenido de algunos emails.
De hecho, el órgano de ciberseguridad ha acusado directamente a dos grupos distintos debido a la complejidad del ataque, con TeamPCP como principal responsable del ataque inicial y ShinyHunters como publicador de los datos robados. De hecho, según señalan desde el CERT-EU, la brecha se habría iniciado el pasado 19 de marzo cuando los hackers obtuvieron una clave API vinculada a la infraestructura de la Comisión, tras una descarga inadvertida de una versión comprometida del software.
Aunque ambos grupos estén implicados, es importante diferenciar sus operaciones y el por qué de su relación en este ataque. Por un lado, TeamPCP se asocia a operaciones más técnicas y estructuradas, centradas en ataques a cadenas de suministros y el acceso inicial a infraestructuras críticas; mientras que ShinyHunters es un actor más orientado a la monetización y filtración de forma pública de datos de carácter privado, de hecho, se le conoce por filtrar grandes volúmenes de datos de información robada en foros y marketplaces. La implicación de ambos grupos se debe a una dinámica de especialización y colaboración indirecta dónde ejecutan y capitalizan el impacto de estos ataques mediante la publicación o venta de los datos sustraídos.
El acceso se produjo a través de Trivy, una herramienta de seguridad de código abierto. El alcance es incluso mayor, impactando hasta a 29 organismos que podrían verse afectados junto a cerca de 52.000 archivos de correos electrónicos que han sido filtrados junto a decenas de servicios internos de la Comisión.
Estos ataques no son algo aislado, se trata de un problema creciente, con numerosos ataques dirigidos por desarrolladores para acceder a información importante y crucial. Asimismo, TeamPCP ha estado involucrado en campañas de ransomware, minería de criptomonedas y compromisos sistemáticos de proyectos de código abierto.
Uno de los riesgos que comenta el CERT-EU es que, aunque los emails filtrados se trate de correos automatizados, “podría contener información del contenido original enviado por el usuario, lo que supondría el riesgo de exposición de datos personales”.
Por otro lado, el hecho de que dos grupos como son TeamPCP y ShinyHunters hayan coordinado un ataque de este tipo no es nada habitual, con un ataque más sofisticado en este entorno.