SchwachstellenHackerangriffeCloud-Sicherheit

EU-Kommission gehackt: TeamPCP bricht in Cloud-Umgebung ein und gefährdet 30 Behörden

EU-Kommission gehackt: TeamPCP bricht in Cloud-Umgebung ein und gefährdet 30 Behörden
Zusammenfassung

Die Europäische Kommission ist Opfer eines massiven Cyberangriffs geworden, der die Sicherheit der gesamten EU-Infrastruktur in Frage stellt. Die kriminelle Gruppe TeamPCP nutzte einen gestohlenen Amazon Web Services API-Schlüssel aus der Trivy-Lieferkettenattacke, um am 10. März in die Cloud-Umgebung der Kommission einzudringen. Der Vorfall betrifft nicht nur die Europäische Kommission selbst, sondern mindestens 29 weitere EU-Institutionen, deren Daten über den EU-Webhosting-Service europa.eu kompromittiert wurden. Die gestohlenen Daten umfassen persönliche Informationen, Benutzernamen, E-Mail-Adressen und über 51.000 E-Mail-Dateien, die insgesamt 2,22 Gigabyte ausmachen. Die Datendiebstahl-Gruppe ShinyHunters veröffentlichte das 90-Gigabyte-Archiv im Dark Web. Für deutsche Nutzer, Unternehmen und Behörden ist dies alarmierend, da es zeigt, wie vulnerabel europäische Institutionen für hochentwickelte Supply-Chain-Attacken sind. Deutsche Organisationen, die mit EU-Systemen verbunden sind oder ähnliche Cloud-Infrastrukturen nutzen, sollten ihre Sicherheitsmaßnahmen überprüfen und ihre AWS-Konfigurationen auf potenzielle Schwachstellen untersuchen.

Die Cyberattacke begann mit einem gestohlenen Amazon Web Services (AWS) API-Schlüssel. Diesen hatten die Angreifer von TeamPCP bereits in einem früheren Angriff auf die Supply-Chain des Entwickler-Tools Trivy erbeutet. Mit diesem kompromittierten Schlüssel, der Administratorrechte über mehrere AWS-Konten der EU-Kommission bot, verschafften sich die Hacker am 10. März Zugang zur Cloud-Umgebung.

Was besonders bemerkenswert ist: Das Cybersecurity Operations Center der Kommission bemerkte den Angriff erst fünf Tage später am 24. März – obwohl die Eindringlinge bereits intensive Aktivitäten durchführten. Das System erkannte weder die Missbrauchung der API, noch potenzielle Kontokompromittierungen oder verdächtige Netzwerkverkehr. Nachdem der Angriff entdeckt wurde, erfolgte die Meldung an CERT-EU erst zwei Tage später.

In der zweiten Phase ihrer Attacke nutzten die Angreifer das Tool TruffleHog, um gezielt nach Cloud-Anmeldedaten zu suchen und zu validieren. Um ihre Spuren zu verwischen, erstellten sie neue Zugangsschlüssel und integrierten diese in bereits vorhandene Benutzerkonten – eine klassische Verschleierungstaktik. Anschließend durchsuchten sie die Systeme nach wertvollen Daten und initiierten massive Datendiebstähle.

Das Ausmaß der Datenverluste ist erheblich. Die Angreifer erbeuteten mehr als 51.992 Dateien mit Aus-gehender E-Mail-Kommunikation (2,22 Gigabyte), darunter auch sogenannte “Bounce-Back”-Benachrichtigungen, die Rückschlüsse auf persönliche Inhalte von Nutzern ermöglichen. Die gestohlenen Daten umfassen Namen, Nachnamen, Benutzernamen und E-Mail-Adressen – überwiegend von EU-Kommissions-Websites, aber potenziell auch von Nutzern anderer europäischer Institutionen.

TeamPCP ist nicht unbekannt in der Cybercrime-Szene. Die Gruppe ist für zahlreiche Supply-Chain-Angriffe verantwortlich, die Entwickler-Plattformen wie GitHub, PyPI, NPM und Docker ins Visier nahmen. Sie verbreiteten auch die Malware “TeamPCP Cloud Stealer”, die bereits zehntausende Geräte infiziert hat.

Die Datendiebe verkauften ihre Beute anschließend weiter. Die Datengruppe ShinyHunters veröffentlichte den 90-Gigabyte-Datensatz in ihrem Dark-Web-Portal. Positiv zu vermerken: Die EU-Kommission verzeichnete keine Manipulation von Websites und konnte keine lateralen Bewegungen zu anderen AWS-Konten feststellen. Dennoch leitet die Kommission nun Benachrichtigungen an Datenschutzbehörden ein und steht in direktem Kontakt mit betroffenen Institutionen.

Ähnliche Artikel