Hakerska grupa ShinyHunters objavila je da je uspela da probije sisteme Evropske komisije i preuzme više od 350 gigabajta poverljivih podataka.

Ova tvrdnja se najpre pojavila na njihovom sajtu na dark webu, gde ova grupa redovno objavljuje ili nudi na prodaju podatke do kojih dolazi u velikim sajber napadima.

U međuvremenu, Evropska komisija je zvanično potvrdila da je došlo do sajber incidenta, kao i da postoji osnovana sumnja da su podaci preuzeti iz cloud infrastrukture koja podržava platformu Europa.eu.

Prema zvaničnim informacijama, napad je otkriven 24. marta, nakon čega su nadležni hitno reagovali kako bi zaustavili dalju kompromitaciju, a da pritom ne dođe do prekida rada sajtova.

Komisija je navela da interni sistemi nisu pogođeni, ali da prvi nalazi ukazuju na to da je deo podataka sa web platforme ipak izvučen i neovlašćeno preuzet. Istovremeno, u toku je proces obaveštavanja svih potencijalno pogođenih institucija i subjekata unutar Evropske unije.

Podaci za koje ShinyHunters tvrdi da ih poseduje obuhvataju dumpove mejl servera, baze podataka, interne dokumente, kao i različite ugovore. Iako još uvek nije moguće u potpunosti potvrditi autentičnost svega, dostupni snimci ekrana sugerišu da među kompromitovanim podacima mogu biti i lični podaci zaposlenih.

Dodatne analize bezbednosnih stručnjaka ukazuju na to da bi kompromitacija mogla biti još šira nego što se u prvi mah mislilo. Postoji mogućnost da su napadači došli do email komunikacije, DKIM ključeva, internih administratorskih URL-ova, podataka iz NextCloud sistema, kao i delova infrastrukture povezane sa finansijskim mehanizmom Athena.

Pojedini izvori čak navode da postoji mogućnost da je kompromitovan kompletan SSO direktorijum korisnika, što bi značajno povećalo rizik od daljih i ozbiljnijih napada.

Takođe se pominje da su napadači možda iskoristili naloge povezane sa Amazon Web Services platformom kako bi ostvarili pristup sistemima, iako je AWS saopštio da u njihovoj infrastrukturi nije zabeležen bezbednosni propust.

Ukoliko se potvrdi da je obim napada zaista ovako velik, posledice neće biti ograničene samo na curenje podataka. Interna komunikacija, administrativni zapisi i identiteti zaposlenih mogu biti zloupotrebljeni za sofisticirane sekundarne napade, uključujući spear-phishing kampanje i neovlašćen pristup sistemima.

Hakerska grupa ShinyHunters već je poznata po napadima na velike organizacije i cloud servise. U prošlosti su targetirali SSO sisteme i platforme poput Salesforce, a poznati su i po tzv. vishing metodama, gde se predstavljaju kao IT podrška kako bi naveli korisnike da odaju svoje pristupne podatke.

Stručnjaci upozoravaju da ovakvi incidenti mogu imati ozbiljne posledice čak i bez klasične ucene. Takozvano „tiho curenje“ podataka može biti jednako opasno kao i ransomware napadi, jer dugoročno narušava bezbednost, poverenje i funkcionisanje institucija.

U ovom trenutku potvrđeno je da je do napada zaista došlo i da je deo podataka izvučen, ali ključna pitanja i dalje ostaju bez odgovora – koji tačno podaci su kompromitovani i koliki je njihov stvarni značaj.

Istraga Evropske komisije je u toku, a njen ishod će pokazati da li je reč o ograničenom incidentu ili o ozbiljnom bezbednosnom proboju sa dalekosežnim posledicama.