L’agenzia di sicurezza informatica dell’Unione Europea, CERT-EU, ha confermato che una recente grave violazione dei dati che ha colpito la Commissione Europea è stata il risultato di uno sforzo coordinato da parte di due distinti gruppi di hacker: TeamPCP e ShinyHunters. L’incidente ha compromesso circa 92 gigabyte di dati compressi, comprese informazioni personali come nomi, indirizzi e-mail e contenuti delle e-mail.
Dettagli e ambito della violazione
L’attacco ha avuto origine il 19 marzo, quando gli hacker hanno ottenuto una chiave API segreta collegata all’account Amazon Web Services (AWS) della Commissione. Questo accesso è stato ottenuto tramite una versione compromessa dello strumento di sicurezza open source Trivy, che la Commissione ha inconsapevolmente scaricato dopo una precedente violazione. I dati rubati hanno colpito non solo la Commissione ma potenzialmente almeno 29 altri enti dell’UE che fanno affidamento sull’infrastruttura cloud della Commissione per i loro siti web e pubblicazioni.
ShinyHunters ha successivamente rivendicato la responsabilità di aver pubblicato online i dati trapelati. Secondo un membro del gruppo, avrebbero acquisito alcuni dei file rubati da TeamPCP dopo gli attacchi precedenti e li avrebbero poi diffusi pubblicamente.
Perché è importante: l’aumento degli attacchi alla catena di fornitura
Questo incidente è degno di nota perché evidenzia una tendenza crescente nella criminalità informatica: gli attacchi alla catena di fornitura. Compromettendo strumenti come Trivy, gli hacker ottengono l’accesso a più organizzazioni che fanno affidamento sullo stesso software. Questa strategia massimizza l’impatto con il minimo sforzo. Come spiega l’Unità 42 di Palo Alto Networks, prendere di mira gli sviluppatori con accesso a sistemi sensibili consente agli hacker di estorcere alle organizzazioni il pagamento di un riscatto.
Il fatto che fossero coinvolti due gruppi separati suggerisce anche una potenziale collaborazione o uno sfruttamento opportunistico della stessa vulnerabilità. CERT-EU sta contattando le organizzazioni interessate per mitigare ulteriori danni. Il portavoce della Commissione ha rifiutato commenti immediati, affermando che risponderanno la prossima settimana.
Rischi di esposizione dei dati
L’analisi dei file trapelati rivela che circa 52.000 file contengono messaggi di posta elettronica. Sebbene molte di queste siano automatizzate con pochi contenuti, le e-mail respinte a causa di errori possono esporre i dati originali inviati dall’utente, creando il rischio che le informazioni personali vengano compromesse.
Questa violazione sottolinea la vulnerabilità anche di istituzioni di alto profilo ai comuni vettori di attacco come compromissioni della catena di fornitura e chiavi API rubate. L’incidente funge da forte promemoria per le organizzazioni affinché diano priorità agli aggiornamenti di sicurezza del software, ai robusti controlli di accesso e al monitoraggio attento della propria infrastruttura cloud.
