Le code source de la plateforme d'e-gouvernement de la Suède divulgué via une infrastructure CGI compromise

Aperçu de l'incident

Le groupe de menace ByteToBreach a divulgué l'intégralité du code source de la plateforme d'e-gouvernement de la Suède, affirmant l'avoir obtenu via l'infrastructure compromise de CGI Sverige AB. CGI Sverige est la filiale suédoise du géant mondial des services informatiques CGI Group et gère des services numériques gouvernementaux critiques.

Catégories de données compromises

• Code source complet de la plateforme E-Gov
• Base de données du personnel
• Systèmes de signature de documents API
• Identifiants de pivot SSH Jenkins
• Points de terminaison de test RCE
• Artéfacts d'établissement initial et de jailbreak
• Bases de données PII des citoyens (vendues séparément)
• Documents de signature électronique (vendus séparément)

Détails de l'attaque

Les vulnérabilités divulguées utilisées dans l'attaque incluent :

• Compromission complète de Jenkins
• Évasion Docker via l'utilisateur Jenkins appartenant au groupe Docker
• Pivots de clés privées SSH
• Analyse des fichiers .hprof locaux pour la reconnaissance
• Pivots SQL copy-to-program

Le groupe fait une remarque ciblée sur les entreprises qui imputent les violations à des tiers, déclarant explicitement que cette compromission relève clairement de l'infrastructure CGI, citant Viking Line et Slavia Pojistovna comme autres exemples.

Le code source est publié gratuitement avec plusieurs liens de téléchargement de sauvegarde, tandis que les bases de données des citoyens sont vendues séparément. Il s'agit du même groupe à l'origine de la violation de Viking Line publiée hier.