Уязвимость в цепочке поставок Trivy привела к взлому облачной инфраструктуры Еврокомиссии

CERT-EU подтвердил, что за недавним взломом облачной инфраструктуры, поддерживающей веб-сайты Европейской комиссии, стоят ShinyHunters, и что они похитили и впоследствии обнародовали примерно 340 ГБ данных.

«Анализ опубликованного набора данных на данный момент подтвердил наличие личной информации, включая списки имён, фамилий, логинов и адресов электронной почты, преимущественно с веб-сайтов Европейской комиссии, но потенциально относящихся к пользователям из множества институтов Союза», — заявил CERT Европейского союза.

«Набор данных также содержит как минимум 51 992 файла, связанных с исходящей электронной перепиской, общим объёмом 2,22 ГБ. Большинство из них — это автоматические уведомления с минимальным содержанием или без него. Однако уведомления о недоставке, которые являются ответами на входящие сообщения от пользователей, могут содержать исходный контент, отправленный пользователем, что создаёт риск раскрытия личных данных».

Первоначальный доступ связан с атакой на цепочку поставок Trivy

Взлом был обнаружен SOC Европейской комиссии 24 марта, а CERT-EU был уведомлён 25 марта.

Основываясь на том, что первоначальный доступ был получен 19 марта 2026 года, факте использования скомпрометированных учётных данных AWS, целенаправленной атаке на облачную инфраструктуру и использовании EC на момент атаки взломанной версии сканера безопасности Trivy от AquaSec, CERT-EU и EC полагают, что вектором первоначального доступа стала компрометация цепочки поставок Trivy.

Злоумышленники получили ключ API AWS, который предоставил им контроль над другими учётными записями AWS EC.

Затем они использовали TruffleHog для поиска секретов и проверки учётных данных AWS путём обращения к службе Security Token Service, а также использовали скомпрометированный секрет AWS для создания и привязки нового ключа доступа к существующему пользователю. Наконец, они начали разведку.

Эта схема действий также была отмечена исследователями Wiz и связана с группой TeamPCP, причастной к недавним атакам на цепочки поставок Trivy, KICS, LiteLLM и Telnyx.

В настоящее время неизвестно, был ли полученный доступ затем передан группе ShinyHunters, или ShinyHunters участвовала только в части кибершантажа в рамках этой атаки. Группа опубликовала похищенные данные на своём даркнет-сайте для утечек 28 марта.

Перемещение внутри сети не обнаружено

«Злоумышленник получил права администратора для скомпрометированного секрета AWS, что теоретически позволяло ему перемещаться между другими облачными аккаунтами AWS, принадлежащими Европейской комиссии. Однако на данный момент признаков подобного перемещения обнаружено не было», — отметил CERT-EU.

«Европейская комиссия оперативно аннулировала права скомпрометированной учётной записи, чтобы заблокировать любой несанкционированный доступ. Все скомпрометированные ключи доступа были деактивированы или удалены.»

Веб-сайты europa.eu и сервисы, предоставляемые платформой, не пострадали в результате данного инцидента безопасности.

Институты всё ещё анализируют утекшие базы данных, и возможно, будут обнаружены и другие типы скомпрометированной информации. Пострадавшие клиенты веб-хостинга Europa были уведомлены, как и соответствующие агентства по защите данных по всему ЕС.

Подпишитесь на нашу экстренную e-mail рассылку, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Подписаться можно здесь!