La Commissione Europea ha confermato alla fine di marzo un accesso non autorizzato a un ambiente cloud che ospita siti istituzionali, una vicenda che il CERT-EU ha poi ricostruito con maggiori dettagli. L’incidente è emerso dopo l’identificazione di un uso anomalo delle API e di un picco di traffico, che ha fatto scattare le analisi di sicurezza: la dimostrazione di come anche strumenti condivisi possano diventare un vettore critico di compromissione.
Come è avvenuto l’accesso
L’indagine tecnica attribuisce la radice dell’intrusione a un attacco di supply chain contro lo scanner Trivy, da cui è stata sottratta una chiave API dell’account AWS utilizzato per ospitare i siti. In particolare, la chiave API è risultata compromessa il 19 marzo e successivamente l’attività sospetta è stata segnalata al CERT-EU il 25 marzo.
Nel codice pubblicato su GitHub era presente un infostealer, cioè un componente malevolo progettato per raccogliere segreti e credenziali dagli ambienti in cui veniva eseguito.
Strumenti e tattiche impiegati
Una volta ottenuto l’accesso iniziale, gli aggressori hanno usato tool come TruffleHog per cercare ulteriori token e credenziali all’interno dei repository e delle configurazioni cloud. Per evitare il rilevamento hanno creato una nuova chiave associata a un utente già esistente, mimetizzando le loro operazioni tra attività legittime. La Commissione ha poi provveduto a revocare tutte le chiavi e i privilegi di accesso compromessi, ma nel frattempo i malintenzionati avevano già raccolto dati dagli ambienti interessati.
Volume e natura dei dati sottratti
I dati trafugati riguardano contenuti di 71 siti ospitati sulla piattaforma collegata a europa.eu e sono stati pubblicati il 28 marzo dal gruppo ShinyHunters.
L’archivio raggiunge circa 340 GB una volta decompresso e include nomi, username, indirizzi email e migliaia di comunicazioni. Le prime analisi hanno identificato quasi 52.000 email all’interno dei materiali, una cifra che rende evidente il potenziale uso per campagne di phishing o attacchi mirati.
Tipologie di file e rischi associati
Tra i documenti sottratti ci sono molte notifiche automatiche e messaggi di sistema: in molti casi il contenuto è minimale, ma alcune email di ritorno possono contenere il testo originale inviato dagli utenti, aumentando la probabilità di esposizione di dati personali inseriti in moduli o comunicazioni operative. Al momento non sono state rilevate alterazioni dei siti ospitati né movimenti laterali verso altri account AWS della Commissione, ma le analisi dei database collegati proseguono per valutare l’entità completa dell’esposizione.
Implicazioni per la sicurezza e la supply chain
L’incidente evidenzia come la fiducia in componenti software condivisi possa trasformarsi in un punto debole: un singolo pacchetto compromesso è in grado di aprire finestre su infrastrutture critiche. Il gruppo ritenuto responsabile, TeamPCP, è stato collegato in passato a compromissioni di pacchetti su piattaforme come GitHub, PyPI e Docker, con campagne che sfruttavano backdoor come il cosiddetto TeamPCP Cloud Stealer, un malware progettato per esfiltrare dati sensibili.
Lezione operative e misure consigliate
Per ridurre il rischio di casi analoghi è fondamentale adottare pratiche di gestione dei segreti e di controllo delle supply chain: rotazione regolare delle chiavi API, uso di segreto centralizzato (secret manager), scansioni per rilevare pacchetti compromessi e policy di least privilege per gli account cloud.
Inoltre, i team di risposta agli incidenti devono poter contare su strumenti di monitoraggio delle API e su processi strutturati per invalidare rapidamente credenziali compromesse e limitare i danni.
Le autorità competenti e le entità coinvolte sono state informate e le comunicazioni con i soggetti interessati sono in corso; il lavoro del CERT-EU prosegue per completare l’analisi forense e stimare l’impatto reale sui sistemi. Questo episodio ribadisce che, nell’era del cloud e dei servizi condivisi, la sicurezza della supply chain è tanto cruciale quanto la protezione delle singole reti: piccoli vettori possono avere conseguenze su larga scala.
