Ủy ban Châu Âu gần đây đã xác nhận rằng môi trường đám mây của họ bị vi phạm dữ liệu nghiêm trọng. Nguyên nhân sâu xa là một cuộc tấn công chuỗi cung ứng nhắm vào công cụ bảo mật nguồn mở Trivy. Nhóm ứng phó khẩn cấp máy tính của Liên minh Châu Âu (CERT‑EU) quy kết cuộc tấn công là do nhóm tội phạm mạng TeamPCP thực hiện. Những kẻ tấn công đã lấy được khóa API của Ủy ban trên Amazon Cloud Services (AWS) thông qua phiên bản Trivy bị nhiễm độc, sau đó đánh cắp khoảng 92GB dữ liệu nén (khoảng 340GB không nén) từ cơ sở hạ tầng lưu trữ nền tảng Europa.eu.

Sự cố bắt đầu vào ngày 19 tháng 3. Trong quá trình cập nhật thông thường, đường dẫn bảo mật tự động của Ủy ban Châu Âu đã lấy ra phiên bản kho lưu trữ Trivy GitHub đã được TeamPCP cài mã độc. Cái sau đã lợi dụng điểm yếu trước đó là việc xoay vòng thông tin xác thực không đầy đủ để nhắm mục tiêu vào kho lưu trữ Trivy GitHub. 76 trong số 77 thẻ phiên bản trong kho lưu trữ trivy-action có lực đẩy độc hại. Sau khi được đưa vào môi trường CI/CD, mã độc sẽ thu thập thông tin xác thực AWS và tải chúng lên, sau đó kẻ tấn công sử dụng các công cụ như TruffleHog để quét thêm để tìm thêm khóa và thông tin nhạy cảm trong môi trường đám mây.

Phải đến ngày 24 tháng 3, Trung tâm Điều hành An ninh mạng của Ủy ban Châu Âu mới phát hiện ra sự cố thông qua hành vi gọi API bất thường của Amazon và lưu lượng truy cập mạng tăng đột biến, đồng thời đưa ra phản hồi sự cố ngay trong ngày; Vào ngày 27 tháng 3, Ủy ban đã tiết lộ vụ việc và ngày hôm sau, băng nhóm ransomware khét tiếng ShinyHunters đã tiết lộ dữ liệu bị đánh cắp trên một trang web rò rỉ web đen. CERT‑EU tuyên bố rằng dữ liệu bị rò rỉ liên quan đến 71 khách hàng sử dụng dịch vụ lưu trữ Europa.eu, bao gồm 42 khách hàng nội bộ của Ủy ban Châu Âu và ít nhất 29 tổ chức khác của EU. Nội dung bao gồm gần 52.000 tệp email gửi đi, danh sách tên, tên người dùng và địa chỉ email. Các tổ chức có khả năng bị ảnh hưởng bao gồm Cơ quan Dược phẩm Châu Âu, Cơ quan Ngân hàng Châu Âu, Cơ quan An ninh Mạng Liên minh Châu Âu (ENISA) và Cơ quan Biên phòng và Biên phòng EU Frontex.

Hiện tại, EU đã thu hồi các khóa bị ảnh hưởng, cách ly và bảo mật các tài khoản AWS có liên quan, đồng thời báo cáo sự việc cho cơ quan quản lý theo Quy định an ninh mạng 2023/2841. CERT‑EU đang điều phối các đơn vị bị ảnh hưởng để thực hiện công việc truy xuất nguồn gốc và củng cố. Các chuyên gia bảo mật chỉ ra rằng trường hợp này đã bộc lộ những thiếu sót nghiêm trọng của các cơ quan chính phủ trong việc đánh giá rủi ro chuỗi cung ứng và giám sát hành vi CI/CD khi dựa vào các công cụ nguồn mở để quét bảo mật và DevSecOps. Nó cũng nhắc nhở ngành một lần nữa rằng họ phải đầu tư nhiều nguồn lực hơn vào việc luân chuyển thông tin xác thực, xác minh tính toàn vẹn kho của bên thứ ba và phát hiện sự bất thường theo thời gian thực.