Il 24 marzo 2026, il Cybersecurity Operations Centre della Commissione Europea ha rilevato qualcosa di anomalo: richieste API sospette verso Amazon Web Services, un picco insolito nel traffico di rete e segnali di compromissione di un account cloud. In meno di 24 ore la notizia era pubblica. ShinyHunters, il gruppo cybercriminale responsabile di alcune delle più grandi violazioni di dati degli ultimi anni, rivendicava il furto di oltre 350 GB di dati riservati dall’infrastruttura cloud che ospita la piattaforma web Europa.eu. Almeno 30 enti dell’Unione Europea risultavano potenzialmente coinvolti.
Era il secondo attacco in meno di due mesi alle istituzioni europee. A febbraio 2026 la Commissione aveva già subito una violazione tramite una zero-day nel sistema di gestione dei dispositivi mobili Ivanti EPMM. Adesso, con un accesso all’account AWS compromesso attraverso la supply chain del tool di sicurezza Trivy, ShinyHunters aveva raggiunto qualcosa di molto più grande.
Il Colpo del 24 Marzo: Come la Commissione Europea è Stata Violata
L’attacco è avvenuto con una precisione che lascia pochi dubbi sulla premeditazione. Secondo la ricostruzione pubblicata da CERT-EU il 3 aprile 2026, il vettore di accesso iniziale è stato una compromissione della supply chain di Trivy, il popolare scanner open source per la sicurezza dei container e delle immagini Docker. Il gruppo noto come TeamPCP, già responsabile del furto di 3.800 repository GitHub in 18 minuti, aveva inserito codice malevolo nel processo di distribuzione di Trivy, ottenendo accesso privilegiato agli ambienti cloud che lo utilizzavano.
L’account AWS compromesso era parte dell’infrastruttura tecnica che gestisce i siti web della Commissione Europea. Una volta dentro, gli attaccanti hanno avuto accesso a dati che normalmente sarebbero stati protetti da rigide politiche di accesso: dump dei server di posta elettronica, database interni, documenti riservati, contratti e materiale sensibile. Il Cybersecurity Operations Centre della Commissione ha ricevuto gli alert il 24 marzo stesso, rilevando potenziale uso improprio delle API Amazon, possibile compromissione di account e un aumento anomalo del traffico di rete.
La Commissione ha scoperto l’intrusione il 24 marzo. CERT-EU è stato informato il 25 marzo. Il 27 marzo la Commissione ha pubblicato una dichiarazione ufficiale. Il 28 marzo i dati sono stati messi a disposizione sul dark web da ShinyHunters. In totale, dall’accesso iniziale alla pubblicazione pubblica dei dati, sono trascorsi meno di cinque giorni.
I Dati Rubati: Cosa Contengono i 350GB Rivendicati da ShinyHunters
La Commissione Europea ha confermato che dati sono stati sottratti, ma non ha dettagliato pubblicamente il contenuto. ShinyHunters ha pubblicato screenshot che mostrano l’accesso a un volume di materiale eccezionalmente sensibile. I ricercatori di International Cyber Digest, che hanno analizzato il materiale trapelato, hanno identificato le seguenti categorie di dati:
- Dump dei server di posta elettronica con messaggi e metadati delle comunicazioni
- Database interni di vari siti web di Europa.eu
- Documenti riservati, contratti e materiale classificato
- Informazioni personali (PII) dei dipendenti: nomi, indirizzi email, contenuto delle comunicazioni
- Chiavi DKIM per la firma dei messaggi email, potenzialmente usabili per campagne di spoofing
- URL di amministrazione interna e credenziali di accesso
- Dati dalla piattaforma di collaborazione NextCloud
- Dati del meccanismo di finanziamento militare Athena
- Possibile directory SSO (Single Sign-On) completa degli utenti istituzionali
Il volume dichiarato da ShinyHunters è di 350 GB non compressi. CERT-EU ha stimato in modo indipendente un volume di circa 91,7 GB compressi esfiltrati dall’account AWS compromesso. La differenza riflette la compressione e il fatto che non tutti i dati rivendicati corrispondano necessariamente al singolo account violato.
Particolarmente preoccupante è la presenza delle chiavi DKIM. Queste chiavi permettono di firmare email in modo che sembrino provenire autenticamente dal dominio della Commissione Europea. In mani criminali, potrebbero essere usate per campagne di phishing estremamente convincenti rivolte a funzionari governativi, ministeri e aziende che interagiscono con le istituzioni UE in tutta Europa.
“Una violazione delle chiavi DKIM di un’istituzione al livello della Commissione Europea rappresenta una minaccia che va ben oltre i dati esfiltrati. Chi le possiede può falsificare email che superano tutti i filtri anti-spam, compromettendo catene di comunicazione diplomatica e operativa con impatti misurabili per mesi.”
Lukasz Olejnik, ricercatore indipendente di cybersecurity e consulente per istituzioni internazionali
TeamPCP e la Compromissione della Supply Chain di Trivy
Il vettore di accesso iniziale, secondo la valutazione ad alta confidenza di CERT-EU, porta a TeamPCP attraverso una compromissione della supply chain dello strumento open source Trivy, sviluppato da Aqua Security e ampiamente utilizzato per la scansione delle vulnerabilità nei container Docker e nelle immagini Kubernetes.
Gli attacchi alla supply chain del software sono diventati una delle categorie di minaccia più insidiose perché sfruttano la fiducia implicita negli strumenti di sviluppo e sicurezza. Quando un’organizzazione integra Trivy nella propria pipeline CI/CD, presuppone che il tool sia sicuro. Se il meccanismo di distribuzione di Trivy viene compromesso, ogni ambiente che lo utilizza diventa potenzialmente vulnerabile.
Nel caso della Commissione Europea, il risultato è stato l’accesso all’account Amazon Web Services che gestiva i siti web pubblici di Europa.eu. AWS ha chiarito che la propria infrastruttura non è stata compromessa: la vulnerabilità era nelle credenziali e nella configurazione dell’account cliente della Commissione, non nella piattaforma cloud stessa. L’account compromesso era parte dell’infrastruttura tecnica che alimenta i siti web istituzionali della Commissione, e la sua portata di accesso era significativamente più ampia di quanto un account puramente destinato all’hosting web avrebbe dovuto avere.
“Gli attacchi alla supply chain di strumenti open source di sicurezza sono particolarmente pericolosi perché colpiscono esattamente le organizzazioni che si preoccupano della sicurezza. È una trappola ironica: uno scanner di vulnerabilità diventa il vettore di una violazione massiva.”
Hossein Jazi, senior threat researcher specializzato in supply chain attacks
30 Enti UE Coinvolti: L’Effetto a Cascata sull’Ecosistema Istituzionale
L’aspetto più allarmante dell’attacco non riguarda solo la Commissione Europea in sé, ma l’estensione del danno all’intero ecosistema istituzionale dell’Unione. CERT-EU ha valutato che i dati pertinenti ad almeno 29 altri enti dell’Unione potrebbero essere stati compromessi attraverso la violazione dell’account AWS della Commissione.
La Commissione ha avviato la notifica degli enti potenzialmente coinvolti senza divulgare pubblicamente i nomi. Secondo quanto riportato da Help Net Security e da Security Affairs, la Commissione aveva reso noto che anche i siti web sono rimasti operativi durante e dopo l’incidente. La natura di questi enti, tuttavia, si può dedurre dalla tipologia di dati che transitano per l’infrastruttura di Europa.eu: agenzie regolatrici, istituzioni finanziarie europee, organi giudiziari, autorità di protezione dei dati, strutture di sicurezza e difesa. Fonti secondarie hanno suggerito che anche ENISA, l’agenzia europea per la cybersicurezza, potrebbe essere tra i soggetti coinvolti, ma questa ipotesi non ha ottenuto conferma ufficiale.
La portata reale dell’incidente rimane in parte opaca. La Commissione ha dichiarato che l’indagine è ancora in corso e che continuerà a monitorare la situazione. Questo linguaggio cauto suggerisce che la valutazione dell’impatto completo richiederà settimane, se non mesi.
| Data | Evento | Soggetti Coinvolti | Impatto Accertato |
|---|---|---|---|
| Febbraio 2026 | Zero-day Ivanti EPMM | Commissione Europea, Autorità olandesi (Garante e Consiglio giudiziario) | Sistema MDM compromesso; contenuto in 9 ore; nomi, email e telefoni del personale esposti |
| 24 marzo 2026 | Compromissione account AWS via Trivy (TeamPCP) | Commissione Europea | 350 GB rivendicati; 91,7 GB compressi confermati da CERT-EU; 30 enti EU coinvolti |
| 25 marzo 2026 | Notifica CERT-EU | Commissione Europea | Avvio risposta coordinata cross-istituzionale |
| 27 marzo 2026 | Dichiarazione pubblica della Commissione | Commissione Europea | Conferma violazione; sistemi interni non impattati; nessuna interruzione dei siti Europa.eu |
| 28 marzo 2026 | Pubblicazione dati su dark web da ShinyHunters | ShinyHunters | 350 GB disponibili pubblicamente; chiavi DKIM, SSO directory e dati Athena esposti |
| 3 aprile 2026 | Raccomandazioni CERT-EU pubblicate | Tutti gli enti UE | Linee guida su supply chain, IAM cloud e protezione chiavi crittografiche |
| 10-11 giugno 2026 | Esercitazione Cyber Europe 2026 (ENISA) | 27 nazioni europee | Risposta coordinata a scenari di attacco su trasporti e comunicazioni |
La Risposta della Commissione: Sistemi Interni Protetti, ma Molte Domande Aperte
La Commissione Europea ha sottolineato con forza che i sistemi interni non sono stati compromessi. Questa distinzione è fondamentale per capire la portata effettiva dell’attacco. L’infrastruttura violata gestiva i siti web pubblici di Europa.eu, non le reti operative interne della Commissione. La risposta operativa è stata relativamente rapida: l’attacco è stato contenuto senza interruzioni alla disponibilità dei siti web. I visitatori di Europa.eu durante e dopo l’attacco non hanno riscontrato disservizi.
Tuttavia, la presenza di documenti riservati, contratti e dati di dipendenti nell’infrastruttura cloud violata pone domande serie sulla policy di gestione dei dati sensibili. Perché materiale di tale natura era accessibile dall’account cloud che gestiva i siti web pubblici? La segmentazione apparente tra “esterno” e “interno” potrebbe essere meno netta di quanto dichiarato. Un account AWS che ha accesso a dump di mail server, chiavi DKIM, directory SSO e dati del meccanismo di finanziamento militare Athena non è un account di hosting web standard.
La Commissione ha dichiarato che utilizzerà i risultati dell’indagine per “migliorare ulteriormente le proprie capacità di cybersicurezza”. CERT-EU ha pubblicato raccomandazioni specifiche per tutti gli enti dell’Unione, concentrate sulla sicurezza della supply chain, sulla gestione degli accessi cloud e sulla protezione delle chiavi crittografiche. ShinyHunters ha comunicato di non avere intenzione di estorcere la Commissione, preferendo rendere i dati pubblicamente disponibili sul proprio sito di leak sul dark web a partire dal 28 marzo.
Il Precedente di Febbraio 2026: Lo Zero-Day Ivanti EPMM
L’attacco di marzo non è stato isolato. A febbraio 2026, la Commissione Europea ha subito una violazione separata attraverso una vulnerabilità zero-day in Ivanti Endpoint Manager Mobile (EPMM), il sistema centralizzato di gestione dei dispositivi mobili dell’istituzione.
In questo caso, la risposta è stata notevolmente rapida: il sistema è stato contenuto e ripristinato in 9 ore. La Commissione ha confermato che nessun dispositivo mobile è stato compromesso. Anche l’Autorità olandese per la protezione dei dati e il Consiglio giudiziario olandese hanno subito violazioni legate allo stesso zero-day Ivanti nello stesso periodo, con accesso a dati di lavoro inclusi nomi, indirizzi email e numeri di telefono del personale.
La vicinanza temporale tra i due attacchi (febbraio e marzo 2026) e la sofisticazione di entrambi suggerisce una campagna coordinata contro le istituzioni europee, non due incidenti casuali e separati. Il primo attacco può aver anche avuto una funzione di ricognizione: testare i meccanismi di risposta della Commissione prima di sferrare l’operazione più massiccia di marzo.
“Quando vediamo due attacchi distinti, con vettori diversi, contro la stessa istituzione a poche settimane di distanza, non possiamo escludere che si tratti di ricognizione progressiva. Il primo attacco serve a capire i meccanismi di risposta prima di sferrare quello di maggiore impatto.”
Bart Groothuis, ex membro del Parlamento Europeo e specialista di cybersecurity nelle istituzioni UE
ShinyHunters: Il Gruppo che Ha Scelto di Non Estorcere la Commissione
ShinyHunters è uno dei gruppi di cybercriminali più prolifici degli ultimi anni, specializzato in violazioni di dati su larga scala e nella successiva estorsione o vendita delle informazioni rubate. Il gruppo opera da anni con un approccio quasi industriale: identificare infrastrutture cloud con misconfigurazioni o accessi compromessi, estrarre volumi massivi di dati, quindi monetizzare attraverso ransomware, estorsione diretta o vendita sul dark web.
Nel caso della Commissione Europea, ShinyHunters ha adottato un comportamento insolito: ha dichiarato esplicitamente di non voler estorcere l’istituzione, preferendo pubblicare i dati direttamente. Questo scostamento dal normale modus operandi del gruppo apre diverse ipotesi. Potrebbe trattarsi di una scelta strategica per massimizzare il danno reputazionale senza entrare in una negoziazione con un’istituzione che ha la capacità di coordinare risposte legali internazionali. Potrebbe indicare motivazioni non puramente economiche, come quelle politiche o di stato sponsor. Potrebbe anche riflettere una valutazione che il danno da pubblicazione immediata supera quello ottenibile da un riscatto.
La Commissione Europea non ha attribuito ufficialmente l’attacco a ShinyHunters. L’attribuzione si basa sulle rivendicazioni pubbliche del gruppo, sugli screenshot pubblicati e sull’analisi di BleepingComputer e altri ricercatori, che hanno valutato il materiale come credibile.
| Vittima | Anno | Volume Dati | Categorie Esposte | Approccio ShinyHunters |
|---|---|---|---|---|
| Canvas Instructure | 2026 | 275 milioni di utenti | Dati studenti, credenziali, documenti accademici | Pubblicazione dark web |
| Commissione Europea | 2026 | 350 GB / 30+ enti UE | Chiavi DKIM, contratti riservati, SSO, dati Athena | Pubblicazione senza riscatto (inusuale) |
| Odido (Paesi Bassi) | 2026 | 6,5 milioni di clienti | Nomi, email, IBAN, numeri di passaporto | Riscatto di €1 milione richiesto |
| Spectrum Charter | 2026 | 4,9 milioni di record | Dati clienti e dipendenti | Estorsione diretta |
| AT&T (storico) | 2024 | 73 milioni di clienti | SSN, numeri account, dati personali | Vendita sul dark web |
Il Contesto Geopolitico: Sanzioni UE, Escalation e Guerra Ibrida
L’attacco alla Commissione Europea non avviene nel vuoto. Nei mesi precedenti, l’Unione Europea aveva adottato misure diplomatiche significative: sanzioni contro aziende di Cina e Iran, accompagnate da sanzioni personali verso individui, per cyberattacchi condotti contro stati membri e partner dell’UE. Il messaggio europeo era esplicito: gli attacchi informatici non sarebbero stati tollerati e i responsabili avrebbero dovuto rispondere delle proprie azioni.
La cronologia degli attacchi (febbraio e marzo 2026) colloca le violazioni nelle settimane immediatamente successive a queste sanzioni. Questo, combinato con la simultanea campagna Qilin contro il partito tedesco Die Linke (definita dallo stesso partito “guerra ibrida” con connessioni a Mosca) e con l’Operation Neusploit di APT28 contro paesi dell’Europa centrale e orientale (gennaio 2026), compone un quadro coerente di pressione sistemica sulle istituzioni europee.
L’esercitazione Cyber Europe 2026, organizzata da ENISA il 10-11 giugno 2026 con la partecipazione di 27 nazioni, ha simulato scenari di attacco coordinato alle infrastrutture di trasporto ferroviario e marittimo dell’UE. Il fatto che questa esercitazione si sia svolta pochi mesi dopo gli attacchi reali di febbraio e marzo riflette la consapevolezza istituzionale di trovarsi in un periodo di escalation delle minacce.
Analisi Tecnica: I Tre Punti di Debolezza Sfruttati
Dall’analisi disponibile emergono tre categorie di vulnerabilità strutturali che hanno reso possibile l’attacco alla Commissione Europea:
1. Supply Chain del Software Open Source
Trivy è uno strumento legittimo e ampiamente adottato nella community di sicurezza. Questo lo rende un vettore di attacco ad alto valore: compromettere la sua distribuzione equivale a compromettere potenzialmente tutti i suoi utenti contemporaneamente. Le organizzazioni che utilizzano tool open source nella propria pipeline di sicurezza devono implementare meccanismi di verifica dell’integrità (hash checking, firma crittografica dei pacchetti, Software Bill of Materials) che vanno ben oltre il semplice aggiornamento delle versioni. Il SBOM (Software Bill of Materials) avrebbe dovuto essere uno standard obbligatorio per tutti i fornitori della Commissione Europea.
2. Gestione degli Accessi Cloud (IAM)
Il fatto che un account AWS utilizzato per l’hosting di siti web pubblici avesse accesso a documenti riservati, contratti e dati sensibili dei dipendenti è un indicatore di una policy IAM (Identity and Access Management) insufficiente. Il principio del minimo privilegio, fondamentale in qualsiasi architettura cloud sicura, avrebbe dovuto limitare l’account di hosting web all’accesso esclusivo alle risorse necessarie per servire contenuti web. L’implementazione di policy IAM granulari, l’uso di ruoli temporanei con credenziali a scadenza automatica e il monitoraggio continuo delle autorizzazioni sono prassi che avrebbero potuto limitare drasticamente la portata della violazione.
3. Protezione delle Chiavi Crittografiche Sensibili
Le chiavi DKIM non dovrebbero mai trovarsi in ambienti cloud accessibili da account con permessi ampi. La loro esposizione è particolarmente grave perché non è reversibile senza un processo completo di revoca e ri-configurazione dell’intero sistema di firma email, con possibili interruzioni nelle comunicazioni ufficiali dell’istituzione. Avrebbero dovuto essere gestite tramite HSM (Hardware Security Module) o servizi dedicati di Key Management come AWS KMS, Azure Key Vault o HashiCorp Vault, completamente separati dall’account cloud di hosting web.
“La Commissione Europea è un bersaglio di primissimo piano perché concentra informazioni su politiche commerciali, negoziati diplomatici, questioni di sicurezza interna e decisioni regolamentari che riguardano 450 milioni di cittadini. Il valore dello spionaggio su questa infrastruttura è incalcolabile per qualsiasi attore statale o non statale con obiettivi geopolitici.”
Juhan Lepassaar, Direttore Esecutivo di ENISA (European Union Agency for Cybersecurity)
L’Impatto per le Aziende e i Cittadini Italiani
Per l’Italia, la violazione della Commissione Europea non è una questione astratta. L’Italia è tra i paesi che più frequentemente interagisce con le istituzioni UE per questioni di fondi strutturali, sussidi agricoli, negoziati commerciali e procedure di infrazione. Molti dei dati che transitano per Europa.eu riguardano direttamente aziende, enti pubblici e cittadini italiani.
Se i dati esfiltrati includono comunicazioni relative a procedure di infrazione nei confronti dell’Italia, negoziati su fondi europei o questioni regolamentari nel settore bancario e finanziario, le implicazioni strategiche sono considerevoli. Qualsiasi organizzazione o individuo coinvolto in procedimenti o negoziati con la Commissione potrebbe vedere le proprie posizioni negoziali compromesse.
Sul fronte individuale, i dipendenti italiani della Commissione Europea e delle istituzioni satellite i cui dati personali sono stati esposti (nomi, email, contenuto di comunicazioni) devono aspettarsi un rischio elevato di phishing mirato, SIM swapping e tentativi di social engineering. Le chiavi DKIM esposte rendono particolarmente insidiosi eventuali messaggi che sembrano provenire da indirizzi ufficiali della Commissione nei prossimi mesi. Il Clusit ha già registrato 507 attacchi informatici significativi contro obiettivi italiani nel 2025, e questa violazione aumenta la superficie di rischio nel 2026.
NIS2 e CER alla Prova: Le Istituzioni EU Come Test Case della Propria Regolamentazione
L’attacco alla Commissione Europea arriva mentre l’UE sta consolidando il proprio framework regolamentare sulla cybersicurezza. La Direttiva NIS2, entrata in vigore nel 2023 e recepita dagli stati membri entro ottobre 2024, impone requisiti stringenti di sicurezza e notifica degli incidenti per le entità essenziali e importanti. La Direttiva CER (Critical Entities Resilience) estende la protezione alle infrastrutture fisiche critiche.
Paradossalmente, la Commissione Europea, che ha proposto e promosso queste direttive, si trova ora a gestire un incidente che mette alla prova la propria capacità di conformità. La notifica degli enti coinvolti, la collaborazione con CERT-EU, la trasparenza nella comunicazione dell’incidente e le misure di rimedio adottate vengono valutate anche come segnale della credibilità istituzionale dell’UE in materia di cybersicurezza. Il fatto che l’Allianz Risk Barometer 2026 classifichi gli incidenti informatici come il rischio globale numero uno per il quinto anno consecutivo (con un punteggio record del 42% delle risposte) evidenzia quanto la sfida sia sistemica, non solo per le aziende private ma anche per le istituzioni pubbliche.
“È una cosa sana che anche le istituzioni che producono le norme sulla cybersicurezza vengano messe alla prova dagli attaccanti. L’importante è come rispondono. La trasparenza della Commissione sulla violazione, pur limitata nei dettagli tecnici, è un passo nella direzione giusta rispetto a istituzioni che preferiscono il silenzio.”
Andrea Zapparoli Manzoni, membro del Consiglio Direttivo di Clusit e analista di sicurezza informatica
5 Previsioni per la Sicurezza delle Istituzioni EU nei Prossimi 12 Mesi
Sulla base dell’analisi dell’incidente, degli attori coinvolti e delle tendenze nel panorama delle minacce europee, emergono cinque previsioni per i prossimi 12 mesi:
- Moltiplicazione degli attacchi alla supply chain open source. La tecnica usata contro Trivy non è isolata. Nei prossimi 12 mesi si prevedono almeno altri 3-5 incidenti significativi che sfrutteranno tool open source di sicurezza o DevOps per compromettere ambienti cloud istituzionali e aziendali in Europa. La replicabilità del vettore è alta e la difesa richiede investimenti in verifica dell’integrità che molte organizzazioni non hanno ancora implementato.
- CERT-EU riceverà mandato e risorse ampliate. L’incidente accelererà il rafforzamento delle capacità operative di CERT-EU. Si prevedono aumenti di budget superiori al 30% entro fine 2026, in linea con le discussioni già in corso nell’ambito della revisione della Cybersecurity Act. La finestra politica è aperta e l’incidente fornisce la giustificazione necessaria.
- Le chiavi DKIM esposte genereranno campagne di phishing sofisticate entro fine 2026. Ricercatori di sicurezza individueranno campagne che sfruttano le chiavi DKIM rubate per impersonare comunicazioni ufficiali della Commissione Europea. I principali bersagli saranno funzionari governativi di stati membri, aziende con procedimenti EU aperti e organizzazioni nel settore della difesa. La finestra di rischio è di 12-18 mesi, il tempo necessario per completare la revoca e la sostituzione di tutte le chiavi compromesse.
- Requisiti obbligatori di SBOM per i fornitori delle istituzioni EU. Sulla base di questo incidente, la Commissione accelererà l’adozione di requisiti specifici per la verifica crittografica della catena di fornitura del software utilizzato dalle istituzioni EU, probabilmente attraverso un aggiornamento degli standard di procurement pubblico e delle linee guida ENISA sulla sicurezza degli appalti ICT.
- ShinyHunters colpirà almeno altre 2 istituzioni europee di profilo alto entro fine 2026. Il gruppo ha dimostrato capacità tecniche e intelligence sufficiente per colpire la principale istituzione esecutiva dell’UE. La scelta di pubblicare senza riscatto suggerisce un’agenda che va oltre il profitto economico. Si prevedono ulteriori incidenti di profilo alto, con possibili obiettivi nel settore della giustizia, della difesa o delle autorità di regolamentazione finanziaria europee.
Copertura Correlata
Per approfondire i temi trattati in questo articolo, consulta la nostra copertura sui principali incidenti di sicurezza in Europa e sui gruppi criminali coinvolti:
- DragonForce: 580 Vittime nel 2026, Italia al 5° Posto in Europa
- TeamPCP Viola GitHub: 3.800 Repository Rubati in 18 Minuti
- Cyber Europe 2026: ENISA Mobilita 27 Nazioni, Ferrovie e Porti nel Mirino
- Russia Colpisce Acqua ed Energia in 6 Paesi UE: +50% Attacchi ICS nel 2026
- Clusit Report 2026: 507 Attacchi in Italia, Prima in Europa per Vittime
- INTERPOL Synergia III: 45.000 IP Abbattuti, 94 Arrestati in 72 Paesi
Domande Frequenti
La Commissione Europea ha confermato ShinyHunters come responsabile?
No. La Commissione ha confermato la violazione e la sottrazione di dati, ma non ha attribuito ufficialmente l’attacco ad alcun gruppo. L’attribuzione a ShinyHunters si basa sulle rivendicazioni pubbliche del gruppo e sugli screenshot pubblicati, che ricercatori indipendenti e media specializzati come BleepingComputer hanno valutato come credibili. L’analisi tecnica di CERT-EU attribuisce l’accesso iniziale a TeamPCP tramite compromissione della supply chain di Trivy, ma le due attribuzioni non si escludono: TeamPCP potrebbe aver fornito l’accesso a ShinyHunters o i due gruppi potrebbero collaborare.
I sistemi interni della Commissione Europea sono stati compromessi?
Secondo la dichiarazione ufficiale della Commissione, i sistemi interni non sono stati impattati. La violazione ha riguardato l’infrastruttura cloud che ospita i siti web pubblici di Europa.eu. Tuttavia, la presenza di documenti riservati, chiavi DKIM e dati del meccanismo Athena in quell’ambiente solleva domande sulla robustezza della separazione tra ambienti pubblici e riservati.
Quanti dati sono stati effettivamente rubati?
ShinyHunters ha rivendicato oltre 350 GB di dati non compressi. La stima tecnica indipendente di CERT-EU è di circa 91,7 GB compressi esfiltrati dall’account AWS compromesso. La discrepanza può dipendere dalla compressione dei dati e da differenze nel perimetro considerato tra la rivendicazione del gruppo e la valutazione tecnica dell’incidente.
Cosa sono le chiavi DKIM e perché la loro esposizione è critica?
DKIM (DomainKeys Identified Mail) è un sistema di firma crittografica per le email che permette ai destinatari di verificare che un messaggio provenga autenticamente dal dominio dichiarato. La compromissione delle chiavi DKIM della Commissione Europea significa che un attaccante potrebbe inviare email che sembrano autenticamente provenire dalla Commissione, superando i filtri anti-spam e anti-phishing. Per mitigare il rischio è necessario revocare e sostituire le chiavi compromesse e aggiornare i record DNS DKIM, un processo che richiede tempo e coordinamento tra decine di sistemi.
Cosa è Trivy e perché è stato usato come vettore di attacco?
Trivy è un popolare scanner open source di vulnerabilità per container, immagini Docker e file system, sviluppato da Aqua Security. È ampiamente utilizzato nelle pipeline CI/CD di aziende e istituzioni per rilevare vulnerabilità prima del deployment. Compromettere la sua distribuzione è un vettore di attacco ad alto impatto perché sfrutta la fiducia che le organizzazioni ripongono nei propri strumenti di sicurezza: uno scanner di vulnerabilità che diventa esso stesso la fonte della compromissione è un attacco difficile da prevedere con i modelli di rischio tradizionali.
Le organizzazioni italiane che usano Trivy sono a rischio?
Le organizzazioni italiane che utilizzano Trivy nelle proprie pipeline dovrebbero verificare le versioni installate, controllare gli hash crittografici degli eseguibili rispetto ai valori pubblicati ufficialmente su GitHub da Aqua Security, monitorare i log di accesso ai sistemi dove Trivy ha accesso privilegiato e rivedere le autorizzazioni degli account sotto cui gira il tool. CERT-EU ha pubblicato raccomandazioni specifiche disponibili attraverso i canali istituzionali EU.
Cosa ha fatto la Commissione Europea dopo la scoperta dell’attacco?
La Commissione ha adottato misure immediate di contenimento, informato CERT-EU entro 24 ore, avviato la notifica degli enti potenzialmente coinvolti, pubblicato una comunicazione pubblica il 27 marzo e avviato un’indagine interna sull’impatto completo dell’incidente. Ha dichiarato che utilizzerà i risultati per migliorare le proprie capacità di cybersicurezza. I siti web di Europa.eu non hanno mai subito interruzioni durante o dopo l’attacco.
