Nền tảng web chính của Ủy ban Châu Âu, europa.eu, gần đây đã phải chịu một vụ rò rỉ dữ liệu nghiêm trọng. Sự cố này xuất phát từ một tấn công chuỗi cung ứng phức tạp, liên quan đến việc một công cụ quét lỗ hổng mã nguồn mở phổ biến, Trivy, bị xâm phạm.
Phát hiện và Tóm tắt Sự cố
Vào ngày 03 tháng 4 năm 2026, CERT-EU đã công bố một cảnh báo chính thức. Cảnh báo này chi tiết cách một tác nhân đe dọa, được biết đến với tên TeamPCP, đã khai thác một công cụ CI/CD bị xâm nhập để thu thập các khóa API của Amazon Web Services (AWS).
Cuộc tấn công tinh vi này đã dẫn đến việc đánh cắp hơn 340 GB dữ liệu không nén. Sự cố đã ảnh hưởng nghiêm trọng đến 71 khách hàng được lưu trữ trên dịch vụ web của Europa.
Nhóm tống tiền ShinyHunters sau đó đã công bố bộ dữ liệu bị đánh cắp trên trang rò rỉ của chúng trên dark web. Tuân thủ Quy định về An ninh mạng (EU) 2023/2841, CERT-EU đang tích cực điều phối ứng phó sự cố để bảo vệ cơ sở hạ tầng và giảm thiểu rủi ro cho các tổ chức thành viên bị ảnh hưởng.
Diễn biến Tấn công Chuỗi Cung Ứng
Khai thác Trivy và Xâm nhập CI/CD
Vụ việc bắt nguồn từ ngày 19 tháng 3 năm 2026. Tại thời điểm đó, Ủy ban Châu Âu đã vô tình tải xuống một phiên bản Trivy đã bị xâm phạm thông qua các kênh cập nhật phần mềm thông thường.
Theo công ty tình báo mối đe dọa Aqua Security, tác nhân đe dọa TeamPCP đã thiết kế mã độc. Mã này được tạo ra để hoạt động và xâm nhập vào các quy trình CI/CD pipelines.
Chiếm đoạt AWS API Key và Mở rộng Phạm vi
Khi đã vào trong môi trường của Ủy ban, TeamPCP đã thành công chiếm được một AWS secret. Secret này có quyền quản lý đối với các tài khoản đám mây liên kết khác.
Để tối đa hóa phạm vi tiếp cận, những kẻ tấn công đã ngay lập tức triển khai TruffleHog. Đây là một công cụ được sử dụng rộng rãi để quét tìm các secret.
Chúng đã tận dụng TruffleHog để xác thực thông tin đăng nhập AWS bằng cách gọi Dịch vụ mã thông báo bảo mật (STS). Dịch vụ này tạo ra các thông tin đăng nhập bảo mật có thời hạn ngắn.
Để duy trì quyền truy cập liên tục, không bị phát hiện, tác nhân đe dọa đã sử dụng AWS secret bị xâm phạm. Chúng tạo và gắn một khóa truy cập mới vào một tài khoản người dùng hiện có trước khi bắt đầu trinh sát mở rộng.
Hậu quả và Dữ liệu Bị Lộ
Phát hiện và Phản ứng Ban đầu
Đến ngày 24 tháng 3, Trung tâm Hoạt động An ninh mạng (CSOC) của Ủy ban đã phát hiện lưu lượng mạng bất thường. Họ cũng nhận thấy khả năng lạm dụng API, kích hoạt phản ứng sự cố ngay lập tức.
Tài khoản AWS bị xâm phạm đã tạo thành phần phụ trợ kỹ thuật cho nhiều trang web công cộng của Ủy ban Châu Âu. Kẻ tấn công đã có hệ thống đánh cắp khoảng 91,7 GB dữ liệu nén. Con số này tương đương với khoảng 340 GB khi giải nén.
Bộ dữ liệu này đã tác động nặng nề đến 42 khách hàng nội bộ của Ủy ban Châu Âu và ít nhất 29 thực thể liên minh khác.
Công bố Dữ liệu và Thông tin Nhạy cảm
Vào ngày 28 tháng 3, nhóm tống tiền dữ liệu khét tiếng ShinyHunters đã nhận trách nhiệm về vụ rò rỉ. Chúng đã công bố toàn bộ bộ dữ liệu trên cổng thông tin dark web của chúng.
Phân tích sơ bộ các tệp bị rò rỉ đã xác nhận việc lộ dữ liệu cá nhân nhạy cảm. Điều này bao gồm tên, họ, tên người dùng và địa chỉ email từ người dùng của nhiều thực thể liên minh.
Hơn nữa, bản sao lưu chứa hơn 51.000 tệp liên quan đến các thư điện tử gửi đi. Mặc dù phần lớn trong số 2,22 GB tệp này là thông báo hệ thống tự động, các nhà nghiên cứu lưu ý rằng các tin nhắn “bounce-back” thường chứa nội dung gốc do người dùng gửi. Điều này tạo ra một rủi ro đáng kể về việc lộ dữ liệu cá nhân sâu hơn.
May mắn thay, không có hệ thống nội bộ nào bị xâm phạm, và không có trang web nào bị thay đổi giao diện hoặc ngừng hoạt động.
Kỹ thuật Tấn công và Phương pháp Hoạt động
Kỹ thuật MITRE ATT&CK được Sử dụng
Những kẻ tấn công đã sử dụng nhiều kỹ thuật MITRE ATT&CK đã được xác định. Đáng chú ý là:
- Supply Chain Compromise (T1195.002): Xâm nhập vào các nhà cung cấp phần mềm và phân phối để phát tán mã độc. Đây là bản chất của tấn công chuỗi cung ứng thông qua Trivy.
- Cloud Account Compromise (T1586.003): Chiếm quyền kiểm soát tài khoản đám mây của nạn nhân.
- Valid Cloud Accounts (T1078.004): Sử dụng thông tin đăng nhập đám mây hợp lệ đã bị đánh cắp để truy cập và hoạt động.
- Data from Local System (T1005): Thu thập dữ liệu từ hệ thống cục bộ bị xâm nhập trước khi exfiltration.
Cơ sở Hạ tầng Tấn công
Cơ sở hạ tầng của TeamPCP đã phụ thuộc nhiều vào các miền bị typosquatted, kho lưu trữ GitHub độc hại và Cloudflare tunnels. Các công cụ này được sử dụng để bí mật đánh cắp các cloud secret đã thu thập.
Mặc dù những kẻ tấn công có quyền quản lý cần thiết để di chuyển ngang sang các tài khoản AWS khác của Ủy ban Châu Âu, các nhà điều tra đã không tìm thấy bằng chứng nào cho thấy sự di chuyển ngang đó đã xảy ra.
Biện pháp Khắc phục và Phòng ngừa
Khuyến nghị Khắc phục
Để đối phó với mối đe dọa ngày càng tăng của các cuộc tấn công vào CI/CD pipeline, CERT-EU khuyến nghị mạnh mẽ tất cả các tổ chức. Họ cần giải quyết ngay lập tức sự thỏa hiệp của Trivy.
Các nhóm bảo mật phải cập nhật Trivy lên một phiên bản an toàn đã biết. Đồng thời, họ cần kiểm tra các triển khai trên tất cả các môi trường. Việc xoay vòng tất cả các AWS secret có thể đã bị lộ trong thời gian lỗ hổng cũng là điều cần thiết.
Ủy ban Châu Âu đã làm gương bằng cách nhanh chóng hủy kích hoạt tất cả các khóa truy cập bị xâm phạm. Họ cũng bảo vệ các AWS secret của mình và thông báo cho Cơ quan Giám sát Bảo vệ Dữ liệu Châu Âu (EDPS) theo Quy định (EU) 2018/1725.
Tăng cường Bảo mật CI/CD Pipeline
Ngoài ra, các quản trị viên nên hạn chế quyền truy cập của CI/CD pipeline vào thông tin xác thực đám mây. Việc áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) là cần thiết để giới hạn quyền một cách phù hợp.
Gắn GitHub Actions vào các hàm băm SHA đầy đủ thay vì các thẻ có thể thay đổi là một bước quan trọng. Kích hoạt nhật ký AWS CloudTrail một cách chủ động giúp phát hiện sớm các cuộc gọi STS bất thường hoặc việc sử dụng TruffleHog trong chuỗi tấn công.
Thiết lập các giao thức quản lý rủi ro nhà cung cấp mạnh mẽ và triển khai giám sát hành vi thời gian thực. Điều này cho môi trường CI/CD là một chiến lược thiết yếu. Nó giúp xác định truy cập bí mật trái phép và ngăn chặn các thảm họa tấn công chuỗi cung ứng trong tương lai.
Tuân thủ Quy định và Chia sẻ Thông tin
Phản ứng sự cố cũng nêu bật tầm quan trọng của khuôn khổ pháp lý quản lý các vụ vi phạm này. Theo Điều 21 của Quy định về An ninh mạng, các tổ chức liên minh có nghĩa vụ báo cáo các sự cố quan trọng cho CERT-EU mà không chậm trễ quá mức.
Đây là một giao thức mà Ủy ban Châu Âu đã tuân thủ. Họ đã thông báo cho cơ quan này trong vòng 24 giờ kể từ khi xác nhận. Thỏa thuận chia sẻ thông tin nhanh chóng này cho phép CERT-EU phối hợp với các đối tác thành viên. Nó cải thiện khả năng phát hiện chung và đẩy nhanh quá trình khắc phục trên toàn châu lục. Đọc thêm chi tiết về cảnh báo từ CERT-EU.
