CERT-EU ha pubblicato i dettagli sull'incidente di cybersecurity che ha interessato la piattaforma web pubblica della Commissione Europea
Autore: Redazione SecurityOpenLab
Circa 340 GB di dati esfiltrati attraverso la violazione di un ambiente cloud AWS e che sono stati rapidamente messi in vendita sul Dark Web: questa è la conseguenza più evidente dell'attacco che, verso la fine dello scorso marzo, ha colpito il backend di europa.eu, il "volto" web pubblico della Commissione Europea. Un attacco i cui dettagli sono stati descritti, dopo le prime indagini, da CERT-EU, il servizio di cybersecurity che protegge istituzioni, uffici ed agenzie della UE.
L'attacco è stato scoperto il 24 marzo, quando il Cybersecurity Operations Centre della Commissione ha rilevato un potenziale uso improprio delle API Amazon collegate (anche) a europa.eu, una possibile compromissione di un account AWS e un aumento anomalo del traffico di rete. La Commissione ha coinvolto CERT-EU il giorno dopo e ha reso pubblico l’incidente il 27 marzo. Poco dopo - il 28 - il gruppo ShinyHunters ha pubblicato i dati esfiltrati durante l'attacco sul proprio sito di leak nel Dark Web.
CERT-EU ha concluso che l'attacco è stato lanciato da un threat actor che già il 19 marzo aveva ottenuto una chiave delle API AWS usate dalla Commissione Europea, probabilmente sfruttando il fatto che la Commissione usava inconsapevolmente una versione compromessa di Trivy proprio nel periodo dell'attacco. Trivy è uno scanner software di Aqua Security che serve a rilevare la presenza di vulnerabilità ed errate configurazioni in ambienti che spaziano dai repository di codice al cluster Kubernetes. La sua supply chain è stata violata dal threat actor TeamPCP, spesso associato ad azioni contro le pipeline CI/CD.
Chi ha attaccato la Commissione ha usato la chiave AWS compromessa per creare e associare una nuova chiave di accesso a un utente già esistente, per evitare il rilevamento della breccia, e ha quindi avviato attività di ricognizione in rete. Finora non sono emerse prove di movimenti laterali effettuati con successo verso altri account AWS della Commissione Europea. Parallelamente, il threat actor ha anche tentato di individuare ulteriori segreti usando TruffleHog, uno strumento utile ad individuare e validare credenziali AWS tramite il servizio Security Token Service, che genera credenziali di sicurezza temporanee per accedere alle risorse AWS.
La Commissione Europea ha ovviamente revocato appena possibile i diritti dell’account compromesso per bloccare qualsiasi accesso illegittimo. Tutte le chiavi di accesso compromesse sono state disattivate o eliminate. Ma intanto un volume significativo di dati (circa 340 GB non compressi) era stato comunque esfiltrato dall’account AWS compromesso. I dati riguardano siti web ospitati per una settantina di clienti del servizio di hosting Europa: 42 clienti interni della Commissione europea e almeno altre 29 entità dell’Unione. L’analisi del dataset ha finora confermato la presenza di dati personali, tra cui elenchi di nomi, cognomi, username e indirizzi email, prevalentemente provenienti dai siti della Commissione europea ma potenzialmente riferiti a utenti di diverse entità dell’Unione.
Il dataset contiene inoltre almeno 51.992 file relativi a comunicazioni email in uscita, per un totale di 2,22 GB. La maggior parte consiste in notifiche automatiche con contenuti minimi o nulli. Tuttavia, secondo CERT-EU, le notifiche di “messaggio ricevuto” possono contenere il contenuto originale inviato dagli utenti, con potenziale esposizione di dati personali. L’analisi dei database collegati ai siti ospitati è ancora in corso e, sottolinea CERT-EU, richiederà tempo per il volume e la complessità dei dati coinvolti.