Il 24 marzo la Commissione Europea ha rilevato un’intrusione nei propri sistemi cloud pubblici (Europa.eu) che ospitano il punto di accesso a informazioni istituzionali, normative e comunicati ufficiali. Stando alla scarna comunicazione ufficiale, l’incidente è stato contenuto rapidamente e i siti web sono rimasti operativi durante tutta la durata dell’attacco.

In apparenza, quindi, nessun disservizio visibile per gli utenti, ma il problema è ciò che si è mosso nel silenzio del back end. Secondo infatti le prime risultanze dell’indagine interna, sarebbero stati esfiltrati dei dati dai sistemi compromessi. La Commissione scrive che sta notificando le entità dell’Unione potenzialmente coinvolte, ma non fornisce alcuna indicazione sulla natura delle informazioni sottratte, sulla loro quantità o sulle categorie di soggetti a rischio.

Se la comunicazione ufficiale resta volutamente vaga, le ricostruzioni circolate in ambienti tecnici dipingono uno scenario più preciso. Alcune fonti indicano che l’attaccante avrebbe ottenuto accesso all’ambiente AWS della Commissione, estraendo un volume di dati stimato in oltre 350 GB. Non sono dettagli verificati ufficialmente, ma la loro plausibilità tecnica è coerente con una compromissione di infrastruttura cloud pubblica.

La Commissione tiene a precisare che i sistemi interni non sarebbero stati intaccati, almeno sulla base di quanto emerso finora dall’indagine in corso. Se questa valutazione reggesse all’analisi forense completa, significherebbe che esiste una separazione sufficientemente solida tra i servizi web esposti al pubblico e la rete core istituzionale, un dato rassicurante ma che non attenua la gravità dell’accaduto.

Crediti: Shutterstock

Crediti: Shutterstock

Quello che manca nella comunicazione è proprio l’essenziale, ovvero il vettore di accesso iniziale, la finestra temporale durante la quale gli attaccanti hanno operato indisturbati e qualunque indicazione sull’attribuzione. La Commissione non ha risposto alle richieste di chiarimento avanzate dalla stampa specializzata. Per un’istituzione che ha costruito parte della propria credibilità normativa sull’obbligo di trasparenza in caso di violazione dei dati (basti pensare al GDPR e alla direttiva NIS2), questa reticenza crea un cortocircuito difficile da ignorare.

A trasformare questo episodio da fatto isolato a potenziale segnale sistemico è la sequenza temporale. Solo un mese prima, a febbraio, la Commissione aveva già dovuto ammettere la compromissione di smartphone istituzionali, con possibile accesso a nomi e numeri di telefono di alcuni dipendenti. Due incidenti distinti, su vettori diversi, in meno di trenta giorni.

Il comunicato ufficiale tende a contestualizzare l’accaduto all’interno della pressione cyber costante che l’Europa subisce, citando le iniziative normative in corso come NIS2. È un quadro non sbagliato nella sua generalità (gli attacchi alle infrastrutture europee sono in effetti documentati e frequenti), ma usarlo come cornice narrativa principale per una violazione concreta rischia di sembrare un modo per diluire la responsabilità nel rumore di fondo delle minacce globali.

Dal punto di vista tecnico, la compromissione di un ambiente cloud pubblico come quello AWS solleva domande specifiche sulla gestione degli accessi, sulla segmentazione delle risorse e sul monitoraggio delle anomalie. Un’esfiltrazione da 350 GB non è un’operazione silenziosa per definizione, che richiede tempo e traffico misurabile. Capire perché questo traffico non abbia attivato alert tempestivi (o se li abbia attivati ma la risposta sia stata tardiva) è esattamente il tipo di informazione che un’indagine post-incidente dovrebbe produrre e, in una certa misura, rendere pubblica.

Secondo quanto riportato da BleepingComputer, che ha pubblicato anche uno screenshot “incriminato”, il responsabile dell’attacco sarebbe il gruppo ShinyHunters, che sul dark web ha sostenuto di aver sottratto “dati provenienti da server di posta, database, documenti riservati, contratti e altro materiale sensibile”. Negli ultimi mesi, ShinyHunters ha anche rivendicato violazioni presso Infinite Campus, CarGurus, Canada Goose, Panera Bread, Betterment, SoundCloud, PornHub e il gigante degli incontri online Match Group, che possiede diversi servizi di incontri popolari, tra cui Tinder, Hinge, Meetic, Match.com e OkCupid.

(Immagine in apertura: Shutterstock)