Az Európai Bizottság megerősítette, hogy az Europa.eu platformot kiszolgáló felhőinfrastruktúráját sikeres támadás érte, melynek során jelentős mennyiségű adatot szivárogtattak ki.
Az Európai Bizottság (EB) hivatalos közleményben ismerte el, hogy a héten detektálták a szervezet webes és felhőalapú ökoszisztémája elleni célzott támadást. Bár a belső, kritikus hálózatok az elsődleges jelentések szerint érintetlenek maradtak, a nyilvános webes jelenlétért felelős infrastruktúra súlyos sérülést szenvedett.
Az architektúra gyenge pontja: Az Europa.eu és az AWS
A támadás fókuszában az Europa.eu platform állt, amely nem csupán a Bizottság, hanem az Európai Parlament és az Európai Tanács webes felületeinek is otthont ad. Technikai szempontból az incidens a Bizottság által használt Amazon Web Services (AWS) környezetet érintette. A támadók nem a belső, on-premise vagy zárt felhős rendszereket (internal systems) törték át, hanem a publikus elérésű szolgáltatásokat kiszolgáló felhő-native réteget.
A rendelkezésre álló információk alapján a behatolók több száz gigabájtnyi adatot emeltek ki. A szivárgás érintett több strukturált adatbázist is, ami arra utal, hogy a támadók nem csupán statikus fájlokhoz, hanem dinamikus backend rendszerekhez is hozzáférést szereztek. A Bleeping Computer jelentése szerint a hackerek bizonyítékként képernyőmentéseket is mellékeltek az AWS-fiókhoz való hozzáférésükről, ami felveti a hibásan konfigurált IAM (Identity and Access Management) szerepkörök vagy kompromittálódott API-kulcsok lehetőségét.
Mérnöki elemzés: Izoláció és Exfiltráció
A rendszermérnöki szempontból legfontosabb kérdés az izoláció hatékonysága. Az EB közleménye hangsúlyozza, hogy a támadást sikerült „konténerizálni” (contained), ami a gyakorlatban azt jelenti, hogy a támadóknak nem sikerült a felhős környezetből lateral movement (oldalirányú mozgás) segítségével bejutniuk a szervezet belső, bizalmas hálózataiba.
| Paraméter | Érintett terület | Állapot |
|---|---|---|
| Infrastruktúra | AWS Cloud (Public facing) | Kompromittált |
| Platform | Europa.eu | Érintett |
| Adatmennyiség | Több száz GB | Exfiltrálva |
| Belső hálózat | On-premise / Private Cloud | Sértetlen |
| Adatbázisok | SQL / NoSQL backendek | Részleges szivárgás |
Az incidens kezelését a CERT-EU (Computer Emergency Response Team for the EU institutions) vette át. A védekezési stratégia jelenleg a kockázatcsökkentő (mitigation) intézkedésekre és a logfájlok mélyreható elemzésére fókuszál, hogy feltárják a behatolási vektort.
A kiberbiztonsági deficit és a jövőbeli kilátások
Az ENISA (Európai Uniós Kiberbiztonsági Ügynökség) vezetője nemrégiben figyelmeztetett: Európa „masszív veszteségeket” szenved el a kiberhadviselés terén. Ez a támadás rávilágít arra a rendszerszintű problémára, hogy még a legmagasabb szintű kormányzati szervek felhő-implementációi is sebezhetőek a professzionális, államilag támogatott vagy magas szintű kiberbűnözői csoportokkal szemben.
Programozói és üzemeltetői szemmel a tanulság egyértelmű: a felhőalapú infrastruktúra nem jelent automatikus biztonságot. A Shared Responsibility Model (közös felelősség modellje) értelmében az AWS biztosítja az infrastruktúra alapjait, de a konfiguráció, a jogosultságkezelés és az adatok védelme a felhasználó – jelen esetben az Európai Bizottság – felelőssége. A vizsgálat lezárultáig nem tudni, hogy egy nulladik napi (zero-day) sebezhetőség, vagy egy egyszerűbb konfigurációs hiba (például egy nyitva felejtett S3 bucket vagy gyenge hozzáférési token) vezetett-e a katasztrófához.
Az EB ígéretet tett a védelmi mechanizmusok felülvizsgálatára, de a kiszivárgott adatbázisok tartalmát és azok hosszú távú hatásait még hónapokig elemezni fogják a szakértők.
