Siber Saldırı Avrupa Birliği Kurumlarını Hedef Aldı
Avrupa Birliği'nin siber güvenlik birimi CERT-EU, Avrupa Komisyonu'nun bulut altyapısına yönelik gerçekleştirilen geniş çaplı bir siber saldırının detaylarını kamuoyuyla paylaştı. Yapılan resmi açıklamada, saldırının TeamPCP olarak bilinen tehdit grubu tarafından düzenlendiği ve olay sonucunda en az 29 farklı Avrupa Birliği kurumuna ait verilerin ele geçirildiği belirtildi.
Saldırının fark edilme süreci ise güvenlik otoriteleri açısından düşündürücü bir tablo çiziyor. Avrupa Komisyonu, sistemdeki API kötüye kullanımı veya şüpheli ağ trafiği gibi anormal hareketleri, ilk sızma girişiminden tam beş gün sonra, yani 24 Mart tarihinde tespit edebildi.
İhlalin Arka Planında Tedarik Zinciri Saldırısı Var
Olayın başlangıcı, 10 Mart tarihinde gerçekleştirilen ve Trivy tedarik zinciri saldırısı ile çalınan bir Amazon Web Services (AWS) API anahtarına dayanıyor. Saldırganlar, yönetim haklarına sahip bu anahtarı kullanarak Avrupa Komisyonu'nun bulut ortamına sızmayı başardı.
Saldırı sırasında geliştiricilerin bulut kimlik bilgilerini taramak için kullandığı TruffleHog adlı aracı devreye sokan TeamPCP, sistemdeki diğer gizli verilere de erişim sağladı. Tespit edilmemek için mevcut bir kullanıcıya yeni bir erişim anahtarı tanımlayan grup, bu yöntemle iz bırakmadan sistem içerisinde keşif faaliyetlerini sürdürdü.
90 Gigabaytlık Veri Karanlık Ağda Yayınlandı
Sızdırılan verilerin akıbeti ise saldırıdan kısa süre sonra belli oldu. ShinyHunters adlı veri gaspı grubu, 28 Mart'ta karanlık ağdaki (dark web) platformları üzerinden çalınan verileri 90 GB boyutunda bir arşiv olarak paylaştı. Sıkıştırılmamış haliyle yaklaşık 340 GB olan bu veri yığını, çok sayıda kişisel bilgiyi içeriyor.
CERT-EU tarafından yapılan analizlere göre, saldırıdan toplamda 71 farklı Europa web hosting müşterisi etkilendi. Bunların 42'sinin Avrupa Komisyonu'nun kendi iç birimleri olduğu, geri kalan 29 kurumun ise diğer AB yapılarına ait olduğu teyit edildi. Çalınan veriler arasında kullanıcı isimleri, e-posta adresleri ve özel e-posta içerikleri gibi hassas bilgiler yer alıyor.
İletişim Kayıtları ve Otomatik Bildirimler Risk Altında
İhlalin kapsamı sadece kullanıcı listeleriyle sınırlı değil. Paylaşılan veri setinde 51.992 adet e-posta dosyası bulunuyor ve bu dosyaların toplam boyutu 2,22 GB'a ulaşıyor. Çoğunluğu otomatik bildirimlerden oluşsa da, "geri dönen e-posta" (bounce-back) mesajlarının kullanıcılar tarafından gönderilen orijinal içerikleri barındırması, ciddi bir kişisel veri ifşası riski yaratıyor.
Siber güvenlik ekipleri, ihlal sonucunda herhangi bir web sitesinin çevrimdışı olmadığını veya sitelere müdahale edilmediğini açıkladı. Komisyon, ilgili veri koruma otoritelerini bilgilendirdiğini ve etkilenen kurumlarla doğrudan iletişim halinde olduğunu duyurdu. Ancak, çalınan verilerin derinlemesine analiz sürecinin oldukça uzun süreceği tahmin ediliyor.
TeamPCP Grubunun Artan Tehdit Profili ve Kurumsal Güvenlik
TeamPCP grubunun daha önce GitHub, PyPi, NPM ve Docker gibi yazılım geliştirme platformlarına yönelik saldırılarıyla tanınması, siber suç dünyasındaki yöntemlerin nasıl evrildiğini gözler önüne seriyor. Özellikle LiteLLM paketini manipüle ederek binlerce cihaza "Cloud Stealer" adlı kötü amaçlı yazılımı bulaştıran grup, tedarik zinciri güvenliğinin günümüzde neden en zayıf halka olduğunu bir kez daha kanıtlıyor. Avrupa Komisyonu'nun yaşadığı bu olay, bulut altyapılarında kullanılan API anahtarlarının ve geliştirici araçlarının, kurumsal savunmanın en kritik noktası haline geldiğini açıkça gösteriyor.