Schwedens E-Government-Plattform-Quellcode durch kompromittierte CGI-Infrastruktur geleakt

Vorfallübersicht

Die Bedrohungsakteurin ByteToBreach hat den gesamten Quellcode der schwedischen E-Government-Plattform geleakt und behauptet, dieser sei über die kompromittierte Infrastruktur von CGI Sverige AB erlangt worden. CGI Sverige ist die schwedische Tochtergesellschaft des globalen IT-Dienstleistungsriesen CGI Group und verwaltet kritische digitale Regierungsdienste.

Kompromittierte Datenkategorien

• Vollständiger E-Government-Plattform-Quellcode
• Mitarbeiterdatenbank
• API-Dokumentensigniersysteme
• Jenkins-SSH-Pivot-Zugangsdaten
• RCE-Test-Endpunkte
• Erste Fußfassung & Jailbreak-Artefakte
• Bürger-PII-Datenbanken (separat verkauft)
• Elektronische Signaturdokumente (separat verkauft)

Angriffsdetails

Die im Angriff genutzten offengelegten Schwachstellen umfassen:

• Vollständige Jenkins-Kompromittierung
• Docker-Escape durch Jenkins-Benutzer in der Docker-Gruppe
• SSH-Private-Key-Pivots
• Analyse lokaler .hprof-Dateien zur Aufklärung
• SQL-Copy-to-Program-Pivots

Die Akteurin weist ausdrücklich darauf hin, dass Unternehmen Sicherheitsverletzungen oft Dritten zuschreiben, und stellt klar, dass diese Kompromittierung eindeutig auf die CGI-Infrastruktur zurückzuführen ist, wobei sie auf Viking Line und Slavia Pojistovna als weitere Beispiele verweist.

Der Quellcode wird kostenlos mit mehreren Backup-Download-Links veröffentlicht, während Bürgerdatenbanken separat verkauft werden. Es handelt sich um dieselbe Akteurin, die hinter dem gestern geposteten Viking-Line-Leak steht.