Хакеры сумели взломать облачную инфраструктуру Европейской комиссии, использовав для этого обычное обновление популярного инструмента безопасности. Источник: Служба кибербезопасности институтов Евросоюза
Атака была реализована через компрометацию цепочки поставок широко используемого сканера уязвимостей Trivy. Злоумышленники внедрили вредоносный код в официальные версии программы, которые Еврокомиссия получила через стандартные каналы обновления программного обеспечения.
Расследование показало, что 19 марта 2026 года хакеры из группировки TeamPCP (также известной под названиями DeadCatx3 и ShellForce) получили доступ к секретному ключу API одного из аккаунтов Amazon Web Services (AWS), принадлежащих Еврокомиссии. Этот ключ обладал расширенными правами управления, что позволило атакующим взять под контроль и другие облачные учетные записи ведомства. После получения первичного доступа хакеры запустили специализированное ПО для поиска дополнительных паролей и начали разведку внутри сети. Чтобы скрыть свое присутствие, они создали новые ключи доступа для существующих пользователей, пытаясь обойти системы обнаружения.
Масштаб утечки оказался значительным: по данным экспертов, из облака Еврокомиссии было выкачано около 91,7 ГБ данных в сжатом виде. Похищенная информация включает персональные данные сотрудников, их имена и адреса электронной почты, а также содержимое переписки.
28 марта хакерская группа ShinyHunters опубликовала часть украденных баз на своем сайте в даркнете, утверждая, что в их распоряжении оказались дампы почтовых серверов, конфиденциальные документы и государственные контракты. Киберспециалисты отмечают, что атака стала возможной из-за неполной очистки систем Trivy после предыдущего инцидента в феврале, что позволило хакерам сохранить доступ к процессу выпуска обновлений.
В CERT-EU подчеркнули, что данный инцидент демонстрирует критическую уязвимость современных систем: даже инструменты, предназначенные для защиты, могут стать оружием в руках хакеров.
Еврокомиссия уже провела аудит и смену всех скомпрометированных учетных данных, однако эксперты предупреждают о риске эффекта домино. Поскольку Trivy используется тысячами организаций по всему миру, многие из них могли автоматически установить зараженное обновление, даже не подозревая о взломе.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet