Si rincorrevano da alcuni mesi le voci che l’Europol, l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto, fosse rimasta vittima di qualche fuga di dati e in questi giorni è arrivata la conferma che il sistema informativo dell’ente che ha come missione istituzionale la difesa dei cittadini europei dai reati dalla criminalità organizzata, informatica e dal terrorismo, era stato violato.
L’autore dell’operazione è Intelbroker, soggetto che il 13 maggio scorso ha pubblicato sul sito BreachForums un annuncio in cui pubblicizzava la vendita di dati sottratti all’Europol, annuncio che dopo qualche giorno è stato aggiornato con il tag [Sold].
Il sistema violato è il portale EPE (Europol Platform for Experts) tramite il quale i criminali sono riusciti ad accedere alla piattaforma EC3 SPACE (Secure Platform for Accredited Cybercrime Experts) utilizzata dagli specialisti europei di crimini informatici e a esfiltrare oltre seimila documenti classificati FOUO (For Official Use Only) ovvero documenti riservati contenenti dati sensibili, informazioni sui dipendenti dell’Europol, codici sorgente, file PDF, documenti di intelligence.
La stessa Interpol ha poi confermato la fuga di dati specificando che la violazione non sarebbe avvenuta tramite lo sfruttamento di vulnerabilità o configurazioni errate ma grazie al possesso di credenziali trafugate.
Non è chiaro se la violazione abbia riguardato anche la piattaforma SIRIUS adoperata dalle autorità giudiziarie e di polizia di 47 paesi, tra cui gli Stati membri dell’Ue, il Regno Unito, i Paesi con un accordo di cooperazione con Eurojust e la Procura europea (EPPO).
A fine marzo scorso era stato reso noto un altro episodio riguardante l’Europol. In quell’occasione era emerso che a settembre 2023 ignoti erano riusciti ad accedere ai sistemi HR e a sottrarre i file dei dati personali del Direttore Esecutivo dell’Europol, Catherine De Bolle, e di altri alti dirigenti.
A seguito di quell’episodio il Direttore del Personale era stato sospeso dall’incarico.
La particolare tipologia di dati trafugati in questo precedente attacco, ricchi di informazioni e dettagli personali degli utenti dei sistemi e spesso acquisiti dagli hacker con forme di social engineering, lascia sospettare che i due attacchi possano essere collegati e fornisce una indiretta conferma alla dichiarazione rilasciata dall’Europol circa le modalità utilizzate per l’attacco.
La sigla Intelbroker ha cominciato a circolare dall’inizio del 2023 ma può già vantare un palmares di tutto rilievo essendo riuscito a portare vittoriosi attacchi a soggetti quali il Dipartimento di Stato Usa, la Darpa, l’Esercito statunitense e l’azienda Hewlett Packard Enterprise.
Malgrado le caratteristiche delle vittime e il tipo di dati sottratti (che in un caso avrebbero incluso anche dati raccolti dal gruppo di Intelligence Five Eyes), farebbero pensare a un gruppo di criminali informatici State-sponsored, è stata diffusa su Youtube una intervista al presunto hacker serbo che si celerebbe dietro la sigla Intelbroker, intervista nella quale lo stesso rivendica di agire in assoluta solitudine e nega di essere collegato a entità statali.
