CERT-EU раскрыл подробности утечки данных Европейской комиссии в Amazon Web Services
CERT-EU раскрыл детали компрометации облачной инфраструктуры Европейской комиссии, связанной с атакой через цепочку поставок программного обеспечения. В результате злоумышленники получили доступ к AWS-аккаунту и выгрузили десятки гигабайт данных, включая персональную информацию пользователей. Редакция SecPost изучила отчет CERT-EU и выделила основные выводы и практические рекомендации.
Общая картина инцидента
В отчете CERT‑EU (команда реагирования на компьютерные инциденты ЕС) описана компрометация облачного аккаунта Европейской комиссии в Amazon Web Services (AWS), приведшая к утечке данных. Причиной стала атака через цепочку поставок программного обеспечения (supply chain — внедрение вредоносного кода в легитимные инструменты).
Инцидент выявили 24 марта 2026 года по аномальной активности: подозрительные вызовы API и рост сетевого трафика. Уже на следующий день началось расследование. Скомпрометирован собственный AWS-аккаунт Европейской комиссии, задействованный в работе платформы europa.eu, что определило масштаб инцидента. Злоумышленники получили доступ к облачным учетным данным и смогли вывести данные, включая персональную информацию пользователей.
Как произошла атака и действия злоумышленников
Начальный доступ был получен через компрометацию цепочки поставок программного обеспечения — злоумышленники внедрили вредоносный код в инструмент Trivy, который Европейская комиссия использовала в своих процессах разработки. Зараженная версия была получена через обычное обновление и незаметно попала в инфраструктуру. Вредоносный код попал в инфраструктуру и был встроен в CI/CD (непрерывная интеграция и доставка — автоматизированная сборка и обновление ПО).
19 марта злоумышленники получили AWS API-ключ (учетные данные для доступа к облачным ресурсам), который давал права управления другими аккаунтами. В тот же день они запустили TruffleHog — инструмент для поиска секретов, — и начали проверку учетных данных через AWS STS (служба выдачи временных токенов доступа).
Для закрепления был создан новый ключ доступа у существующего пользователя, что позволило использовать легитимные учетные данные и снизить вероятность обнаружения. Далее проведена разведка облачной инфраструктуры и поиск дополнительных секретов.
24 марта системы мониторинга зафиксировали аномалии — подозрительные вызовы API и рост сетевого трафика. 25 марта доступ был ограничен и ключи отозваны. Попытки горизонтального перемещения внутри инфраструктуры зафиксированы, однако подтверждений дальнейшего распространения нет. Основной результат атаки — сбор учетных данных и эксфильтрация информации.
Масштаб и последствия утечки
Скомпрометированный AWS-аккаунт использовался в инфраструктуре хостинга europa.eu, где размещаются сайты Европейской комиссии и других органов ЕС . По оценке CERT-EU, утечка затронула инфраструктуру, обслуживающую 71 клиента сервиса — 42 подразделения Европейской комиссии и не менее 29 других организаций ЕС. В утекших данных уже подтверждено наличие персональной информации пользователей и содержимого отдельных сообщений. При этом работа сайтов не нарушалась — их не отключали и не модифицировали.
Реакция Европейской комиссии
После выявления инцидента Европейская комиссия оперативно отозвала скомпрометированные AWS-ключи и отключила созданные злоумышленниками учетные данные. Были направлены уведомления регуляторам и ответственным за защиту данных, включая Европейского инспектора по защите данных. Параллельно началось информирование затронутых организаций.
По данным отчета, внутренние системы не пострадали, а работа сервисов не прерывалась. Комиссия продолжает анализ утечки и взаимодействие с пострадавшими.
Кого затронул инцидент
Скомпрометированный AWS-аккаунт использовался в инфраструктуре хостинга europa.eu, где размещаются сайты Европейской комиссии и других органов ЕС.
По оценке CERT-EU, утечка затронула инфраструктуру, обслуживающую 71 клиента сервиса — 42 подразделения Европейской комиссии и не менее 29 других организаций ЕС. В утекших данных уже подтверждено наличие персональной информации пользователей и содержимого отдельных сообщений. При этом работа сайтов не нарушалась — их не отключали и не модифицировали.
Выводы и рекомендации
Основные выводы отчета носят прикладной характер. В первую очередь речь идет о контроле инструментов в CI/CD — важно понимать, какие версии используются, откуда они получены и не были ли они скомпрометированы. Отдельная задача — ограничить доступ таких процессов к облачным учетным данным и выдавать им только минимально необходимые права.
Также в отчете подчеркивается необходимость регулярной ротации ключей доступа и аудита активности в облаке: обращать внимание на нетипичные вызовы API, создание новых ключей и обращения к сервисам аутентификации. Это позволяет выявлять атаки, которые используют легитимные учетные данные и поэтому плохо заметны.
Отдельный риск связан с публикацией украденных данных. Поскольку в утечке есть имена, адреса и содержимое сообщений, их могут использовать для целевых фишинговых атак и социальной инженерии. В таких случаях рекомендуется заранее предупреждать пользователей и сотрудников о возможных злоупотреблениях.
Редакция SecPost ведет реестр наиболее значимых аналитических отчетов по кибербезопасности.
Отчет «European Commission cloud breach: a supply-chain compromise» доступен по ссылке.
Читайте также
