HackerangriffeCloud-SicherheitSchwachstellen

Europäische Kommission Opfer massiver Datenpanne: TeamPCP-Hacker stehlen 92 Gigabyte

Europäische Kommission Opfer massiver Datenpanne: TeamPCP-Hacker stehlen 92 Gigabyte
Zusammenfassung

Die europäische Cybersicherheitsbehörde CERT-EU hat die Hackergruppe TeamPCP für einen massiven Datendiebstahl bei der Europäischen Kommission verantwortlich gemacht. Die Angreifer drangen am 19. März in ein Amazon-Web-Services-Konto ein und erbeuteten etwa 92 Gigabyte komprimierter Daten, darunter Namen, E-Mail-Adressen und teilweise E-Mail-Inhalte. Der Zugriff erfolgte durch die Ausnutzung eines kompromittierten API-Schlüssels, den die Kommission über das Software-Update der Komponente Trivy erhalten hatte. Die Verletzung betraf Daten von 42 internen Kunden und mindestens 29 EU-Institutionen, die die Europa.eu-Plattform nutzen. Dieser Vorfall verdeutlicht, wie kritisch Supply-Chain-Angriffe sind: Legitime Software-Updates können zur Einfallstelle für Cyberkriminelle werden. Für deutsche Nutzer, Unternehmen und Behörden ist dies ein Warnzeichen, da viele deutsche Organisationen ebenfalls AWS und andere Cloud-Services nutzen und potenziell von ähnlichen Angriffsmustern betroffen sein könnten. Die Tatsache, dass die gestohlenen Daten kurz darauf im Dark Web auftauchten, zeigt auch die wachsende Zusammenarbeit zwischen verschiedenen Cyberkriminellen-Gruppen, um Profits zu maximieren.

Der Cyberangriff auf die Europäische Kommission verdeutlicht die wachsende Bedrohung durch koordinierte Hackergruppen, die gezielt Schwachstellen in der Lieferkette ausnutzen. Nach Angaben der EU-Cybersicherheitsbehörde CERT-EU gelangten die Angreifer über einen kompromittierten Amazon-API-Schlüssel in das System – ein Zugangstoken, das bei unsachgemäßer Verwaltung zu einem kritischen Sicherheitsrisiko wird.

Die Verbindung zur Supply-Chain-Kompromittierung ist entscheidend: TeamPCP soll für die Trivy-Schwachstelle verantwortlich sein, eine Sicherheitslücke im gleichnamigen Open-Source-Sicherheitstool. Die Europäische Kommission erhielt eine manipulierte Version des Tools über reguläre Softwareaktualisierungskanäle – ein Szenario, das zeigt, wie schwierig es ist, böswillige Code-Injektionen zu erkennen.

Das Datendiebstahl-Portfolio ist bemerkenswert: Die Angreifer erbeuteten etwa 52.000 Dateien zu ausgehenden E-Mail-Kommunikationen im Umfang von 2,2 Gigabyte. Nach Einschätzung von CERT-EU waren die meisten dieser Nachrichten automatisierte Systemmitteilungen mit geringem Informationswert. Dennoch birgt die Menge der Bounce-Back-Benachrichtigungen Risiken für die Preisgabe persönlicher Daten.

Besonders besorgniserregend ist die Art der Zugriffsrechte, die die Hacker erlangten: Mit den gestohlenen AWS-Managementrechten hätten sie lateral zu anderen Kommissions-Cloud-Konten wechseln können. Nach aktuellem Stand gibt es dafür jedoch keine Hinweise – ein schwacher Trost angesichts des offensichtlich erlangt Vertrauens in die Infrastruktur.

Das Incident-Timeline offenbart typische Reaktionsmuster: Während der Angriff am 19. März stattfand, erkannte die Kommission das Eindringen erst am 24. März durch Anomalieerkennung. Am 28. März erschienen die gestohlenen Daten bereits im Dark Web unter dem Kürzel ShinyHunters – eine etablierte Masche von Cyberkriminellen, die Daten untereinander weitergeben und kommerzialisieren.

TeamPCP gilt als professionelle Hackergruppe mit diversen Aktivitätsmustern: Neben Dateneraub sind ihr Malware-Operationen wie Ransomware-Kampagnen, Kryptomining und der LiteLLM-Angriff bekannt. Diese Vielseitigkeit deutet auf gut organisierte, finanziell motivierte Cyberkriminelle hin.

Für deutsche Organisationen ist dieser Fall ein Fingerzeig: Auch zentrale europäische Institutionen sind nicht vor Supply-Chain-Angriffen gefeit. Die Lehre lautet: Kontinuierliche Überwachung von Cloud-Zugriffen, strikte Geheimniszugriffsverwaltung und schnelle Anomalieerkennung sind nicht optional, sondern essentiell.

Ähnliche Artikel