Den Zugang zum AWS-Konto verschafften sich die Angreifer über einen API-Schlüssel, der am 19. März beim Lieferkettenangriff auf den Schwachstellen-Scanner Trivy von Aqua Security kompromittiert wurde. Verantwortlich für diesen Angriff macht CERT-EU die Hackergruppe TeamPCP. Die Kommission habe im fraglichen Zeitraum unwissentlich eine kompromittierte Version von Trivy eingesetzt, die sie über die regulären Software-Update-Kanäle bezogen hatte.

Mit dem kompromittierten AWS-Schlüssel erstellten die Angreifer laut dem EU-Cybersicherheitsteam einen neuen Zugriffsschlüssel, banden ihn an ein Benutzerkonto an und führten Erkundungen durch. Dieser Schlüssel habe die Kontrolle über weitere mit der Kommission verbundene AWS-Konten ermöglicht. Am selben Tag versuchten die Täter, mithilfe von TruffleHog weitere Geheimnisse aufzuspüren – ein Werkzeug, das üblicherweise zum Aufspüren von Secrets und zur Validierung von AWS-Zugangsdaten über den Security Token Service (STS) genutzt wird.

Wie Wiz kürzlich erläuterte, ging TeamPCP ohne Verzögerung daran, gestohlene Zugangsdaten zu validieren, Erkundungsoperationen zu starten, weitere Daten zu exfiltrieren und sich seitlich im Netzwerk zu bewegen.

Nach Angaben von CERT-EU nutzten die Angreifer das kompromittierte AWS-Geheimnis, um Daten aus der betroffenen Cloud-Umgebung abzuziehen. Die exfiltrierten Daten beziehen sich auf Websites, die für bis zu 71 Kunden des Europa-Hosting-Dienstes betrieben werden: 42 interne Stellen der Kommission und mindestens 29 weitere Einrichtungen der Union.

Die 340 GB unkomprimierter Daten enthalten personenbezogene Informationen wie Namen, E-Mail-Adressen und Benutzernamen, überwiegend von den Websites der Kommission. Wahrscheinlich seien auch Nutzer mehrerer EU-Einrichtungen betroffen. Rund 2,22 GB beziehungsweise 51.992 Dateien entfallen auf automatisierte Benachrichtigungen, darunter Unzustellbarkeitsmeldungen, die ursprünglich von Nutzern eingereichte Inhalte und damit möglicherweise personenbezogene Daten enthalten. Die Analyse der mit den gehosteten Websites verknüpften Datenbanken dauert laut CERT-EU angesichts des Umfangs und der Komplexität der Daten noch an.

Nachdem die Kommission von der Kompromittierung erfahren hatte, entzog sie dem betroffenen Konto die Rechte, deaktivierte die kompromittierten Zugangsdaten und tauschte sie aus und benachrichtigte die zuständigen Datenschutzstellen. Interne Systeme seien dem Vorfall zufolge nicht betroffen gewesen.