# Europäische Kommission von AWS Cloud-Datenpanne betroffen Die **Europäische Kommission** war am 19. März von einer schwerwiegenden Datenpanne betroffen, deren Einbruch **CERT-EU** der Hackergruppe **TeamPCP** zuschrieb. Die Panne nutzte ein kompromittiertes **Amazon Web Services (AWS)**-Konto aus und führte zum Diebstahl von rund 92 Gigabyte komprimierter Daten. ## Details der Panne Die Angreifer erlangten Zugang durch den Missbrauch eines geheimen Amazon API-Schlüssels und zielten auf die Europa.eu-Plattform der Kommission ab, die auf der **AWS**-Cloud-Infrastruktur gehostet wird. Diese Plattform wird von EU-Staaten genutzt, um Websites für verschiedene Blockentitäten zu hosten. Laut dem **CERT-EU**-Bericht könnten Daten von 42 internen Kunden und mindestens 29 EU-Einheiten kompromittiert worden sein. Der gestohlene Datensatz enthielt fast 52.000 Dateien mit einem Gesamtvolumen von 2,2 Gigabyte, die hauptsächlich ausgehende E-Mail-Kommunikation betrafen. Während **CERT-EU** glaubt, dass die meisten dieser Nachrichten automatisiert und mit minimalem Inhalt waren, könnten einige Bounceback-Benachrichtigungen ein Risiko für die Offenlegung personenbezogener Daten darstellen. ## Zeitplan und Entdeckung Die Cybersicherheitsexperten der Kommission entdeckten die Panne am 24. März, ausgelöst durch Benachrichtigungen über möglichen Missbrauch von Amazon APIs, eine mögliche Kompromittierung des Kontos und einen ungewöhnlichen Anstieg des Netzwerkverkehrs. ## Grundursache: Trivy Supply Chain Compromise **CERT-EU** schätzt mit hoher Zuversicht, dass der anfängliche Zugriff durch die Kompromittierung der **Trivy**-Lieferkette erfolgte. Die Kommission nutzte unwissentlich eine kompromittierte Version von **Trivy**, die über reguläre Software-Update-Kanäle bezogen wurde. ## Risiko der lateralen Ausbreitung Die Bedrohungsakteure erwarben "Managementrechte" für den kompromittierten **AWS** API-Schlüssel, was ihnen potenziell ermöglichte, sich lateral zu anderen **AWS**-Konten innerhalb der **Europäischen Kommission** auszubreiten. Derzeit gibt es jedoch keine Beweise für eine solche laterale Ausbreitung. ## Datenleck im Dark Web Am 28. März tauchten die gestohlenen Daten auf der Dark-Web-Seite von **ShinyHunters** auf. **ShinyHunters** behauptete, "Daten-Dumps von Mailservern, Datenbanken [sic], vertraulichen Dokumenten, Verträgen und viel mehr sensiblem Material" gestohlen zu haben. ## Modus Operandi von TeamPCP **TeamPCP** wird auch verdächtigt, hinter dem jüngsten LiteLLM-Cyberangriff zu stecken, der **Mercor** und zahlreiche andere Organisationen betraf. Die Hackergruppe wird mit Wurm-gesteuertem Ransomware, Datenexfiltration und Kryptomining-Kampagnen in Verbindung gebracht.