ShinyHunters je skupina aktera prijetnji koja je preuzela odgovornost za proboj Europske komisije, ENISA-e i Glavne uprave za digitalne usluge. Procurili su širok raspon osjetljivog materijala iz tih institucija.

Koje vrste podataka su izložene u proboju?

Procurjeli podaci uključivali su e-poruke, privitke, potpuni direktorij korisnika SSO-a, DKIM ključeve za potpisivanje, snimke AWS konfiguracije, podatke iz NextClouda i Athene te interne administratorske URL-ove.

Zašto su izloženi DKIM ključevi za potpisivanje posebno opasni?

DKIM ključevi koriste se za provjeru da e-poruke zaista potječu s domene za koju se predstavljaju, pa s tim izloženim ključevima napadači mogu slati e-poruke koje izgledaju kao legitimne, potpisane komunikacije institucija EU-a. To phishing kampanje čini znatno uvjerljivijima.

Što je ENISA i zašto je njezin proboj značajan?

ENISA je Agencija Europske unije za kibernetičku sigurnost, odgovorna za savjetovanje država članica EU-a o politici kibernetičke sigurnosti. Njezin proboj otvara pitanja o jazu između smjernica koje te institucije pružaju i zaštita koje same za sebe održavaju.

Zašto agencije za kibernetičku sigurnost nisu imune na proboje?

Složenost moderne infrastrukture stvara praznine koje je teško potpuno zatvoriti, što znači da nijedna organizacija nije imuna bez obzira na svoju stručnost. Stručnjaci za sigurnost zagovaraju obranu u dubinu, koristeći višestruke preklapajuće slojeve zaštite umjesto oslanjanja na bilo koju pojedinačnu kontrolu.

ShinyHunters probija Europsku komisiju i ENISA-u

Skupina aktera prijetnji ShinyHunters preuzela je odgovornost za značajan proboj koji je pogodio Europsku komisiju, Agenciju Europske unije za kibernetičku sigurnost (ENISA) i Glavnu upravu za digitalne usluge. Napadači su procurili širok raspon osjetljivog materijala, uključujući e-poruke, privitke, potpuni direktorij korisnika jedinstvene prijave (SSO), DKIM ključeve za potpisivanje, snimke AWS konfiguracije, podatke iz NextClouda i Athene te interne administratorske URL-ove. Istraživači sigurnosti koji su pregledavali izložene podatke opisali su situaciju kao „kaos", ukazujući na duboki pristup sustavima za autentifikaciju, oblak infrastrukturi i internim alatima.

Proboj je značajan ne samo po svojoj razmjeri, već i po svom cilju. ENISA je tijelo odgovorno za savjetovanje država članica EU-a o politici kibernetičke sigurnosti. Uspješan upad u njezine sustave otvara neugodna pitanja o jazu između smjernica koje te institucije pružaju i zaštita koje same za sebe održavaju.

Što je zapravo procurilo

Procurjeli podaci obuhvaćaju nekoliko zasebnih i osjetljivih kategorija. Direktorij korisnika SSO-a posebno je značajan jer SSO sustavi djeluju kao središnji pristupnik za autentifikaciju. Ako je taj direktorij kompromitiran, napadači dobivaju kartu korisnika i pristupnih puteva kroz više povezanih usluga.

DKIM ključevi za potpisivanje još su jedan ozbiljan element. DKIM (DomainKeys Identified Mail) koristi se za provjeru autentičnosti e-poruka, odnosno da zaista potječu s domene za koju se predstavljaju. S tim izloženim ključevima, napadači bi potencijalno mogli slati e-poruke koje izgledaju kao legitimne, potpisane komunikacije institucija EU-a, čineći phishing kampanje znatno uvjerljivijima.

Snimke AWS konfiguracije otkrivaju kako je strukturirana oblak infrastruktura, uključujući spremnike za pohranu, pravila pristupa i konfiguracije usluga. Te informacije su nacrt za naknadne napade usmjerene na podatke i usluge pohranjene u oblaku.

Uzeti zajedno, ovi elementi predstavljaju pristup koji daleko nadilazi površinsko prikupljanje podataka. Istraživači s pravom upozoravaju na potencijal za sekundarne napade temeljene na onome što je izloženo.

Zašto čak i agencije za kibernetičku sigurnost bivaju hakirane

Instinkt da se pretpostavi kako agencija za kibernetičku sigurnost mora biti posebno dobro zaštićena razumljiv je, ali odražava pogrešno razumijevanje načina na koji proboji funkcioniraju. Nijedna organizacija nije imuna, a složenost moderne infrastrukture često stvara praznine koje je teško potpuno zatvoriti.

Ovaj incident korisna je ilustracija zašto stručnjaci za sigurnost zagovaraju obranu u dubinu: načelo prema kojem su višestruki preklapajući slojevi zaštite pouzdaniji od bilo koje pojedine kontrole. Kada jedan sloj zakaže, drugi bi trebao ograničiti štetu.

U ovom slučaju, izloženost SSO direktorija i ključeva za potpisivanje sugerira da kontrole autentifikacije i prakse upravljanja ključevima nisu bile dovoljno ojačane ili odvojene. Činjenica da su podaci o konfiguraciji oblaka bili dostupni u proboju sugerira da ti okoliši možda nisu bili adekvatno izolirani ili nadzirani.

Pouka nije da su institucije EU-a posebno nemarné. Ona glasi da sofisticirani, ustrajni akteri prijetnji poput ShinyHuntersa ciljaju organizacije visoke vrijednosti upravo zato što je dobit od uspješnog proboja znatna.

Što to znači za vas

Većini čitatelja, proboj infrastrukture institucija EU-a može se činiti dalekom temom. No izloženi podaci stvaraju stvarne sekundarne rizike.

Izloženost DKIM ključeva znači da phishing e-poruke koje tvrde da dolaze s adresa Europske komisije mogu biti teže otkriti standardnim tehničkim provjerama. Svaki tko ima posla s institucijama EU-a, bilo u poslovne, regulatorne ili istraživačke svrhe, trebao bi u nadolazećem razdoblju s dodatnim oprezom pristupati neočekivanim e-porukama s tih domena.

Šire gledano, ovaj proboj konkretan je primjer zašto je oslanjanje na bilo koju pojedinačnu sigurnosnu kontrolu rizično. SSO je prikladan i, kada je dobro implementiran, siguran. No ako je sam direktorij kompromitiran, ta pogodnost postaje obveza. Dodavanje dodatnih slojeva provjere, poput višefaktorske autentifikacije temeljene na hardveru, ograničava opseg štete kada jedan sustav zakaže.

Za osobnu komunikaciju, šifriranje osjetljivih podataka prije nego što dostignu oblak pohranu znači da čak i ako su detalji konfiguracije izloženi, temeljni sadržaj ostaje zaštićen. VPN dodaje još jedan sloj osiguravanjem prometa između vašeg uređaja i usluga na koje se spajate, smanjujući izloženost na nepouzdanim mrežama. (Za detaljniji uvid u to kako šifriranje štiti podatke u prijenosu i u mirovanju, pogledajte naš vodič o osnovama šifriranja.)

Praktični zaključci

Ovaj proboj nudi jasnu kontrolnu listu vrijedno preispitati za svakoga tko upravlja vlastitom digitalnom sigurnošću:

Pregledajte postavljanje autentifikacije. Gdje god je moguće, koristite hardverske sigurnosne ključeve ili MFA temeljen na aplikacijama umjesto SMS kodova, koji se lakše presreću.
Revidirajte dozvole za pohranu u oblaku. Datoteke pohranjene u oblak uslugama trebaju imati minimalne potrebne dozvole. Pogrešno konfigurirani spremnici i široke politike pristupa ponavljajući su čimbenik u velikim probojima.
Budite oprezni na phishing koji koristi institucionalne domene. S izloženim DKIM ključevima, tehnički potpisane e-poruke s pogođenih domena ne mogu se smatrati dokazom legitimnosti same po sebi.
Šifrirajte osjetljive podatke prije učitavanja. End-to-end enkripcija osigurava da čak ni kompromitirana infrastruktura ne znači automatski i kompromitiran sadržaj.
Segmentirajte pristup gdje god je moguće. SSO je jedna točka kvara ako nije popraćen snažnim nadzorom i detekcijom anomalija.

ShinyHunters ima dobro dokumentiranu povijest velikih povredu podataka. Ovaj incident potvrđuje da sofisticirani akteri prijetnji tretiraju institucionalne ciljeve visoke vrijednosti kao isplative uložene napore. Razumijevanje načina na koji se ti proboji odvijaju prvi je korak prema primjeni tih lekcija na vlastite sigurnosne prakse.