Introduzione
La Commissione Europea è stata vittima di un grave data breach: hacker hanno avvelenato Trivy, uno strumento open source per la sicurezza, per rubare 92 GB di dati compressi dalla infrastruttura AWS. Questo attacco evidenzia i rischi delle catene di fornitura software open source usate dalle istituzioni governative.
Soluzione rapida per proteggersi: verifica immediatamente i tuoi strumenti di scanning open source, ruota le credenziali AWS e adotta pipeline CI/CD con controlli multipli. In questo modo, puoi prevenire simili intrusioni e salvaguardare i tuoi dati.
Cos’è successo alla Commissione Europea
Il CERT-EU, team di risposta alle emergenze informatiche dell’Unione Europea, ha attribuito la violazione al gruppo cybercriminale TeamPCP. Gli attaccanti hanno sfruttato un attacco supply chain su Trivy, scanner di vulnerabilità open source mantenuto da Aqua Security. Il 19 marzo, la Commissione ha scaricato una versione compromessa di Trivy, che conteneva malware progettato per rubare chiavi API AWS.
Da lì, gli hacker hanno ottenuto accesso all’account cloud della Commissione su Amazon Web Services. Hanno condotto una ricognizione metodica, mappando risorse come utenti IAM, istanze EC2, bucket S3 e cluster ECS. Il risultato? Estrazione di 92 GB di dati compressi, equivalenti a circa 340 GB non compressi, inclusi 52.000 file di email e liste di nomi, username e indirizzi email.
La pubblicazione dei dati da parte di ShinyHunters
I dati rubati sono stati pubblicati online da ShinyHunters, un noto gruppo di estorsione responsabile di breach a Ticketmaster, AT&T e oltre 60 aziende. Questa doppia attribuzione – TeamPCP per l’hack, ShinyHunters per la leak – indica una specializzazione crescente tra cybercriminali, simile a divisioni aziendali.
I dati esposti riguardano fino a 71 clienti del servizio di web hosting Europa.eu: 42 clienti interni della Commissione e almeno 29 altre entità UE, come l’Agenzia Europea per i Medicinali, l’Autorità Bancaria Europea, ENISA e Frontex.
Cronologia dell’attacco
- Fine febbraio: Breccia nel repository GitHub di Trivy, con credenziali non ruotate completamente.
- 19 marzo: TeamPCP forza il push di codice malevolo su 76 dei 77 tag di versione nel repository trivy-action.
- 19-24 marzo: La pipeline automatizzata della Commissione scarica l’update avvelenato; malware estrae chiave AWS.
- 24 marzo: Il Cybersecurity Operations Centre rileva anomalie in API Amazon e traffico di rete.
- 27 marzo: Commissione divulga l’incidente pubblicamente.
- 28 marzo: ShinyHunters pubblica i dati sul dark web.
Impatti e lezioni apprese
Questo breach espone la fragilità delle catene di fornitura open source, pilastri della sicurezza governativa. La Regolamento Cybersecurity UE del 2023 e la Direttiva NIS2 impongono accountability ai vertici, con multe e squalifiche per fallimenti. Eppure, la Commissione è stata colpita proprio da un vettore open source.
TeamPCP (noto anche come DeadCatx3, PCPcat, ShellForce) è un attore cloud-native tracciato da esperti per exploit su Docker, Kubernetes e Redis. Ha legami con ransomware e cryptomining, e recenti partnership con gruppi come CipherForce.
ShinyHunters, attivo dal 2020, gestisce Breach Forums e ha visto membri condannati, ma continua a operare.
Sfide per la sovranità digitale UE
La dipendenza da AWS (provider USA) solleva interrogativi sulla sovranità digitale europea. Legislatori spingono per cloud europei, ma questo incidente – da open source avvelenato a leak dark web – intensifica il dibattito: le ambizioni regolatorie UE matchano la sicurezza operativa?
Per l’industria tech, il messaggio è chiaro: strumenti di sicurezza open source diventano superfici d’attacco. Trivy è usato da migliaia di organizzazioni; quando lo scanner è l’arma, il modello di sicurezza automatizzata crolla.
CERT-EU coordina la risposta sotto il Regolamento Cybersecurity, analizzando i dati pubblicati. Per i 71 clienti colpiti, la remediation è solo all’inizio.
Approfondimento tecnico per esperti
Meccanismo dell’attacco supply chain
TeamPCP ha sfruttato credenziali residue post-breccia GitHub. Hanno force-pushed commit malevoli ai tag di versione di trivy-action (GitHub Action per Trivy). Il malware, eseguito nella pipeline CI/CD, ha usato tecniche come:
- Estrazione credenziali: Cattura di AWS API key da variabili d’ambiente.
- Evazione detection: Creazione nuova access key su utente esistente.
Successivamente:
- Uso di TruffleHog per scansionare segreti cloud.
- Enumerazione IAM, EC2, Lambda, RDS, S3, Route 53.
- Focus su ECS cluster: Mappatura task definitions per accesso container e exfiltrazione da AWS Secrets Manager.
Campagna sistematica di TeamPCP
Non isolato: tra 19-27 marzo,
- 21 marzo: Compromesso Checkmarx KICS (IaC scanner), 35 tag version.
- Pivot su LiteLLM (AI gateway): Token PyPI rubato via Trivy avvelenato, push pacchetti malevoli su Python Package Index.
Questo crea cascading supply chain attack.
Mitigazioni avanzate
| Misura | Descrizione | Beneficio |
|---|---|---|
| Credential rotation completa | Ruota tutte le credenziali post-breccia, incluse residue. | Blocca accessi persistenti. |
| SBOM e SCA | Usa Software Bill of Materials e Software Composition Analysis. | Rileva componenti compromessi. |
| Pipeline sigillate | Firma codice, verifica integrità tag Git. | Previene force-push. |
| Zero Trust | Applica least privilege su IAM, monitora anomalie. | Limita lateral movement. |
| Multi-scanner | Non dipendere da un tool; combina Trivy, Grype, Syft. | Ridondanza. |
Monitoraggio: Integra GuardDuty AWS, CloudTrail per audit log. Rileva picchi traffico/exfiltrazione.
Open source risks: Adotta SLSA framework (Supply chain Levels for Software Artifacts) per framework di sicurezza catena fornitura.
Per esperti Kubernetes/Docker: Verifica API misconfigurate, usa Kyverno o OPA Gatekeeper per policy enforcement.
Questo incidente sottolinea: trust no binary. Sempre verifica provenance e integrità.
Fonte: https://thenextweb.com/news/european-commission-breach-trivy-supply-chain
