Την Τετάρτη, η Ευρωπαϊκή Επιτροπή αποκάλυψε μια κυβερνοεπίθεση που πιθανότατα έθεσε σε κίνδυνο τις πληροφορίες των εργαζομένων, λίγο μετά τηνΗ ΕΕ ανακοίνωσε νέους νόμους στον κυβερνοχώρογια να προφυλαχθούν από τέτοιες επιθέσεις.
Η εισβολή στο σύστημα δεδομένων της Επιτροπής σημειώθηκε στις 30 Ιανουαρίου, όταν άγνωστος δράστης μπήκε σε περιοχή της Επιτροπής που περιελάμβανε τον τεχνικό εξοπλισμό που χρησιμοποιείται για τη διαχείριση και τη σύνδεση κινητών συσκευών των εργαζομένων.
Οι εισβολείς ενδέχεται να είχαν επίσης πρόσβαση στους εσωτερικούς αριθμούς κινητών τηλεφώνων και στα ονόματα των υπαλλήλων που εργάζονται στην Επιτροπή.
Η άμεση ανταπόκριση περιόρισε τη ζημιά
Η Επιτροπή δήλωσε: «Η γρήγορη απάντησή μας μετρίασε την κατάσταση, απολυμάνοντας το παραβιασμένο σύστημα σε λιγότερο από εννέα ώρες. Δεν βρήκαμε σημάδια παραβίασης κινητών συσκευών.
Αν και οι συσκευές των εργαζομένων φαίνονται ασφαλείς, η παραβίαση εκθέτει προσωπικές πληροφορίες που θα μπορούσαν να χρησιμοποιήσουν οι εισβολείς για στοχευμένο ηλεκτρονικό ψάρεμα ή κοινωνική μηχανική.
Το χρονοδιάγραμμα δεν θα μπορούσε να είναι χειρότερο: η Επιτροπή μόλις είχε προτείνει σημαντική νομοθεσία για την ασφάλεια στον κυβερνοχώρο για την προστασία των κρίσιμων υποδομών από κρατικά επιχορηγούμενους χάκερ και κυβερνοεγκληματίες όταν ανακαλύφθηκε αυτή η επίθεση.
Αυτό το περιστατικό υπογραμμίζει το οξύ, ακόμη και όταν λυγίζει τη ρυθμιστική του δύναμη για να διεκδικήσει τον έλεγχο σε μια άλλη διάσταση του ψηφιακού κόσμου: τις πρακτικές απορρήτου δεδομένων των πιο ισχυρών εταιρειών τεχνολογίας στον κόσμο.
Η Επιτροπή δεν είπε ακριβώς πώς απέκτησαν πρόσβαση οι επιτιθέμενοι, αλλά έχει όλες τις ενδείξεις ότι αυτό ήταν μόνο ένα μέρος ενός μεγαλύτερου κύκλου επιθέσεων κατά των ευρωπαϊκών θεσμών.
Τα ολλανδικά πρακτορεία χτυπήθηκαν με την ίδια μέθοδο επίθεσης
Την ίδια ημέρα, η Αρχή Προστασίας Δεδομένων των Κάτω Χωρών και το Δικαστικό Συμβούλιο ανέφεραν σχεδόν τις ίδιες παραβιάσεις του συστήματος δεδομένων τους. Οι δύο αρχές επαλήθευσαν ότι οι κακοί ηθοποιοί εκμεταλλεύτηκαν ευπάθειες στο λογισμικό Ivanti Endpoint Manager Mobile για να διεισδύσουν και να φτάσουν στα ονόματα των εργαζομένων, τα email της εργασίας τους και τους αριθμούς τηλεφώνου τους.
Οι ολλανδικές αρχές δήλωσαν,
"Το Εθνικό Κέντρο Κυβερνοασφάλειας ειδοποιήθηκε από τον προμηθευτή τρωτών σημείων στο EPMM στις 29 Ιανουαρίου. Αυτή τη στιγμή, έχει γίνει σαφές ότι μια ξένη οντότητα έχει πρόσβαση σε δεδομένα εργασίας που σχετίζονται με τους υπαλλήλους, όπως το όνομα, το email της εταιρείας και τον αριθμό τηλεφώνου."
Το πρότυπο είναι ότι οι χάκερ στοχεύουν συστηματικά το ευρωπαϊκό κυβερνητικό σύστημα χρησιμοποιώντας την ίδια μέθοδο εκμετάλλευσης.
Στις 29 Ιανουαρίου, ο Ivanti, ένας παγκόσμιος προμηθευτής εταιρικού λογισμικού διαχείρισης κινητών για κυβερνητικές και ιδιωτικές επιχειρήσεις, σήμανε τον κώδωνα του κινδύνου αφού εντόπισε δύο κρίσιμα τρωτά σημεία ασφαλείας (CVE-2026-1281 και CVE-2026-1340) που αξιοποιήθηκαν ενεργά σε επιθέσεις zero-day.
Αυτά τα τρωτά σημεία είναι τρωτά σημεία εισαγωγής κώδικα που επιτρέπουν στους εισβολείς να εκτελέσουν οποιαδήποτε εντολή επιθυμούν σε ένα μη επιδιορθωμένο σύστημα από μια απομακρυσμένη τοποθεσία. Δεν απαιτείται έλεγχος ταυτότητας. Οι χάκερ το βλέπουν ως ένα όνειρο που γίνεται πραγματικότητα. Οι ομάδες ασφαλείας πληροφορικής αντιμετωπίζουν έναν εφιάλτη.
Τι σημαίνει αυτό για την κρατική ασφάλεια
Η ταυτόχρονη στόχευση πολλών ευρωπαϊκών θεσμικών οργάνων υποδηλώνει ότι πραγματοποιείται συντονισμένη προσπάθεια. Είτε κρατικά επιχορηγούμενοι είτε καιροσκόποι εγκληματίες, οι επιτιθέμενοι επιτυγχάνουν το ίδιο αποτέλεσμα: τα δεδομένα των κρατικών υπαλλήλων πέφτουν σε λάθος χέρια. Οι εργαζόμενοι που επηρεάζονται αντιμετωπίζουν πλέον άμεσο κίνδυνο στοχευμένων επιθέσεων phishing.
Οι εισβολείς θα χρησιμοποιήσουν όλες τις προσωπικές πληροφορίες που έχουν για τα email ηλεκτρονικού ψαρέματος για να πάρουν τους υπαλλήλους. Αντί να στέλνουν spam email, οι εισβολείς θα έχουν πραγματικά ονόματα και αριθμούς που κάνουν αυτά τα email να φαίνονται πολύ αληθινά, επομένως οι υπάλληλοι θα δυσκολεύονται να προσδιορίσουν εάν το email που έστειλαν ήταν ή όχι αξιόπιστο.
Μέχρι στιγμής, η Ευρωπαϊκή Επιτροπή δεν έχει απαντήσει σε κανένα αίτημα σχετικά με αυτό το περιστατικό. Είναι σαφές ότι απαιτούνται συνεχείς έρευνες. Ένα πράγμα είναι σαφές: τα παράπονα σχετικά με τους νόμους για την ασφάλεια στον κυβερνοχώρο είναι πολύ περισσότερα από τα προληπτικά μέτρα που ισχύουν στην πραγματικότητα.
Σε απάντηση, η ΕΕ δραστηριοποιείται σε πολλαπλά μέτωπα, από τη σκλήρυνση των δικών της θεσμών έναντι των επιθέσεων έωςδιερευνώντας επιθετικά πώς οι παγκόσμιες πλατφόρμεςδιαχειρίζεται τα δεδομένα των πολιτών της.