Stellen Sie sich vor, Sie checken auf Europa.eu nach dem Stand Ihres EU-Zuschusses – und das Backend hat längst Ihren Namen, Ihre E-Mail und Benutzernamen an Erpresser weitergeleitet. Genau das ereilte Tausende: EU-Bürger, Beamte, Antragsteller. Ihre Daten wurden in der Datenpanne der EU-Kommission abgesaugt.
Über 300 GB geklaut. Persönliche Infos, verteilt über 71 Kunden-Websites. Alles geht zurück auf einen einzigen, heimtückischen Kompromiss in einem Tool, das eigentlich schützen sollte.
Aber das ist kein Pech. Das ist Architektur.
So wurde ein ‘sicherer’ Scanner zur Hintertür
Trivy. Das Open-Source-Lieblingstool von Aqua Security zum Aufspüren von Schwachstellen. Am 19. März haben TeamPCP-Hacker es in einem Supply-Chain-Angriff mit Malware versetzt. Die EU-Kommission hat das vergiftete Update wie alle anderen über normale Kanäle gezogen.
CERT-EU macht es klar: „Die Europäische Kommission hat unwissentlich eine kompromittierte Version von Trivy in der relevanten Zeit genutzt, die sie über übliche Software-Update-Kanäle erhalten hat.“
„Dieser Schlüssel gab Kontrolle über weitere AWS-Accounts der EU-Kommission. Am selben Tag versuchte der Angreifer, weitere Geheimnisse aufzuspüren, indem er TruffleHog startete – ein Tool, das üblicherweise für Secret-Scans und AWS-Credential-Validierung über den Security Token Service (STS) genutzt wird“, schreibt CERT-EU.
Hacker haben einen AWS-API-Key geschnappt. Peng – Zugang zum Europa.eu-Backend. Sie haben neue Keys gedreht, mit TruffleHog Recon gemacht (Ironie: Ein Secret-Scanner, um mehr Secrets zu finden) und Daten aus S3-Buckets gesaugt.
Kurz: 340 GB unkomprimiert. Meist E-Mails, Usernames. Manche saftige Bounce-Backs mit Benutzerformularen.
Wiz misst die Geschwindigkeit: Validierung, Exfil, Seitwärtsbewegungen. Alles in Tagen. TeamPCP hat nicht rumgesponnen; ShinyHunters haben die Beute bis 28. März auf Tor gepostet.
Warum Supply-Chain-Angriffe Regierungen fressen
Das kennen wir. SolarWinds 2020: Staaten ziehen an Update-Puppenfäden, um Behörden zu treffen. Jetzt sind es schrägere Gruppen wie TeamPCP, die Dev-Tools anpeilen. Warum? Effizienz. Ein vergiftetes Paket wellt sich zu Tausenden durch.
Die EU-Aufstellung schreit nach Angriffen. Geteiltes AWS für 42 interne EC-Kunden, 29+ weitere Stellen. Zentrale Hosting – praktisch für Beamte, Festmahl für Hacker.
Und Trivy? Überall, weil gratis, schnell, nahtlos integrierbar (bah, dieses Wort). Aber Open-Source-Supply-Chain? Wildwest mit PyPI-Mirrors und unkontrollierten Binaries. Niemand prüft jedes Update doppelt.
Mein Fazit – und das, was PR übersieht: CERT-EU nennt die Analyse ‘komplex’ und zeitfressend, Code für ‘wir improvisieren’. Keys widerrufen, Creds rotiert, Datenschützer informiert. Gut. Aber interne Systeme unberührt? Das ist Schönfärberei. Wenn Europas Backend woanders hängt, lauern Schatten.
Fetter Tipp: Kopierer kommen. Regierungen weltweit setzen auf OSS-Scanner. Nächstes? Vielleicht Snyk oder Dependabot. Braucht Architekturwechsel – air-gapped Update-Checks, sonst sind wir alle Trivy-Opfer.
Was passiert, wenn Hacker Ihre EU-Daten haben?
Echte Leute. Sie, die Visa-Status oder Jobs auf EC-Seiten abfragen. Allein 2,22 GB Benachrichtigungen – 51.992 Dateien. Bounce-Backs mit vollen E-Mails, Anhängen, PII.
ShinyHunters sind Doxxing- und Erpresser-Spezialisten. Daten sind schon online. CERT-EU gräbt jetzt in Datenbanken, aber Volumen ist ein Monster.
Und der Menschenschaden? Phishing-Jackpot. Ihre EC-E-Mail wird Speer-Phish-Köder. Identitätsdiebstahl explodiert grenzüberschreitend.
Stopp. Die EC beteuert: Kernsysteme unberührt. Ok. Aber Europa.eu? Öffentliches Gesicht der EU-Macht. Breach hier frisst Vertrauen schneller als jedes Policy-Papier.
Bröckelt die EU-Cloud-Festung?
AWS. Der Goldstandard. Trotzdem: API-Keys – diese Gott-Modus-Token – quietschen weit auf, wenn sie leaken.
Angriffsweg: Vergiftetes Trivy → AWS-Key-Klau → neuer IAM-User → TruffleHog-Scan → S3-Exfil. Lehrbuch-Seitwärtsbewegung.
