3月27日,欧盟委员会公开承认自家云环境被黑。从入侵到发现,整整5天没人察觉。等安全团队反应过来,30个欧盟机构的数据已经躺在暗网上了。
这不是什么国家级APT组织的杰作,而是一个叫TeamPCP的网络犯罪团伙,用了一套你我在GitHub上随手就能下载的开源工具。
一条API密钥的漂流:从供应链到云核心
攻击起点要追溯到更早的Trivy供应链攻击。Trivy是一款流行的开源漏洞扫描工具,开发者用来检查容器镜像里的安全问题。TeamPCP在这上面动了手脚,偷到了一把AWS API密钥——而且带管理权限。
3月10日,他们用这把钥匙打开了欧盟委员会的亚马逊云账户大门。接下来的操作堪称"开源工具教学片":先用TruffleHog扫描更多凭证,然后新建访问密钥挂到现有用户名下躲避检测,最后大摇大摆地做侦察、拖数据。
TruffleHog这工具,本意是帮工程师发现代码库里不小心泄露的密码。现在成了黑客的自动挖矿机。
欧盟委员会的网络安全运营中心直到3月24日才收到警报,此时距离初始入侵已过去5天。3月26日,委员会正式通知CERT-EU(欧盟网络安全服务机构)。一天后,BleepingComputer找上门求证,委员会才公开披露。
90GB压缩包里的真相:5万多封邮件被扒光
3月28日,数据勒索组织ShinyHunters在暗网发布了这个数据集:90GB压缩包,解压后约340GB。里面有什么?CERT-EU周四的通报给出了具体数字:
至少51,992份与外发邮件通信相关的文件,总计2.22GB。涉及71个Europa网页托管服务客户——其中42个是欧盟委员会内部客户,至少29个是其他欧盟机构。
数据类型包括姓名、姓氏、用户名、邮箱地址,以及邮件内容本身。CERT-EU确认,这些个人信息主要来自欧盟委员会网站,但"可能涉及多个欧盟机构的用户"。
TeamPCP不是新手。这个团伙专门盯着开发者基础设施下手:GitHub、PyPI、NPM、Docker Hub都中过招。他们还篡改过LiteLLM的PyPI包,植入"TeamPCP Cloud Stealer"信息窃取木马,影响了数万台设备。
换句话说,你的pip install或npm install,可能就是他们的投递渠道。
云安全的尴尬现实:权限管理仍是最大盲区
这起事件暴露的问题很老套,但一直没解决。一把从供应链偷来的API密钥,为什么能跨账户管理?欧盟委员会的AWS权限架构显然没有做好隔离。TruffleHog这类凭证扫描工具的存在,本身就说明密钥硬编码、权限过度授予是行业通病。
更讽刺的是检测滞后。5天的 dwell time(驻留时间),足够黑客做完侦察、横向移动、数据打包全套流程。云环境的日志量巨大,但如果没有针对API异常调用的实时监控,海量日志只是昂贵的存储负担。
TeamPCP的攻击路径并不复杂:偷密钥→扫更多密钥→伪装持久化→拖数据。每一步都是已知手法,但组合起来就绕过了欧盟委员会的安全运营中心。
ShinyHunters的介入也值得关注。这个勒索团伙以贩卖数据闻名,2020年曾声称黑入微软GitHub账户(后被否认),2021年出售过1.29亿条印度驾照记录。他们现在成了TeamPCP的变现渠道——技术团伙负责入侵,勒索团伙负责施压,分工越来越像正经商业合作。
欧盟委员会表示正在通知受影响个人和机构。但340GB的数据一旦流出,撤回是不可能的。暗网上的90GB压缩包,现在谁都能下载研究。
你的开发环境里,有多少把钥匙能打开别人家的门?
热门跟贴