L’agenzia per la sicurezza informatica dell’Unione europea ha dichiarato giovedì che un recente hacking e violazione dei dati presso l’organo esecutivo dell’UE è stato opera di un gruppo di criminali informatici noto come TeamPCP.
Nell’a nuovo rapportoCERT-EU ha anche riferito che gli hacker hanno rubato circa 92 gigabyte di dati compressi da un account Amazon Internet Companies (AWS) compromesso utilizzato dall’esecutivo del blocco, la Commissione europea, che includeva dati personali contenenti nomi, indirizzi e-mail e contenuti di e-mail.
La violazione ha colpito l’infrastruttura cloud della piattaforma Europa.eu della Commissione, che gli Stati membri utilizzano per ospitare siti net e pubblicazioni delle istituzioni e delle agenzie del blocco.
CERT-EU ha scritto che i dati di almeno altre 29 entità dell’UE potrebbero essere interessati e che anche dozzine di clienti interni della Commissione europea potrebbero essere stati rubati.
I dati rubati sono stati poi pubblicati on-line da un altro gruppo di hacker, il famigerato ShinyHunters.
Sebbene la dimensione della violazione dei dati sia di per sé notevole, l’hacking e la successiva fuga di dati della Commissione Europea da parte di due gruppi di hacker separati evidenzia una tendenza crescente di criminali informatici che lavorano insieme per estorcere denaro alle loro vittime.
CERT-EU ha affermato che la violazione ha avuto origine il 19 marzo quando gli hacker hanno acquisito una chiave API segreta associata all’account AWS della Commissione europea, a seguito di un precedente hack contro il strumento di sicurezza open source Trivy. La Commissione ha inavvertitamente scaricato una copia dello strumento Trivy compromesso in seguito alla recente violazione del progetto, consentendo agli hacker di rubare la sua chiave API segreta e utilizzare quell’accesso a pivot per ottenere i dati archiviati nell’account AWS della Commissione.
Mentre il servizio sta ancora analizzando i dati pubblicati on-line, quasi 52.000 file contengono messaggi di posta elettronica inviati. CERT-EU ha affermato che la maggior parte di queste e-mail sono automatizzate con poco o nessun contenuto, ma le e-mail restituite con un errore “potrebbero contenere il contenuto originale inviato dall’utente, con il rischio di esposizione dei dati personali”.
CERT-EU ha affermato di essere già in contatto con le organizzazioni interessate.
Contattaci
Hai maggiori informazioni su questa violazione? O altri attacchi informatici? Da un dispositivo non lavorativo, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Sign al numero +1 917 257 1382, oppure tramite Telegram e Keybase @lorenzofb, o e-mail.
Un portavoce della Commissione europea ha detto a TechCrunch che l’organismo resterà chiuso fino alla prossima settimana, e allora risponderà a una richiesta di commento.
Un membro di ShinyHunters non ha risposto alle richieste di commento.
Oltre alla spiaggia Trivy, TeamPCP è stato collegato advert attacchi ransomware e campagne di mining di criptovalute, dice Aqua Securityche sviluppa Trivy. Più recentemente gli hacker sono stati dietro una campagna sistematica di attacchi alla catena di fornitura che compromettono altri progetti di sicurezza open supply, secondo l’Unità 42 di Palo Alto Networks.
Prendendo di mira gli sviluppatori con chiavi per accedere a sistemi sensibili, gli hacker “hanno quindi la capacità di richiedere un riscatto alle organizzazioni compromesse, chiedendo pagamenti di estorsione”, ha scritto l’Unità 42.
