L’Europol, l’agència de les forces de seguretat de la Unió Europea, va confirmar que el seu portal de la Plataforma d’Experts de l’Europol (EPE) va patir una violació de seguretat i ara està investigant l’incident després que un actor d’amenaça afirmés que havia robat documents per a ús oficial (FOUO) que contenien dades classificades.

L’EPE és una plataforma en línia que els experts de les forces de seguretat fan servir per «compartir coneixements, millors pràctiques i dades no personals sobre delictes».

«L’Europol és conscient de l’incident i està avaluant la situació. Les accions inicials ja s’han dut a terme. L’incident afecta un grup d’usuaris tancat de la Plataforma d’Experts de l’Europol (EPE)», va informar l’Europol a BleepingComputer.

«No es processa cap informació operativa en aquesta aplicació EPE. No s’ha vist afectat cap sistema bàsic de l’Europol i, per tant, no s’ha compromès cap dada operativa de l’Europol».

BleepingComputer també va preguntar quan es va produir l’incompliment i si és cert que es van robar tant documents FOUO com documents classificats, tal com va afirmar l’actor de l’amenaça, però no hi va haver cap resposta al respecte.

Els registres personals de Catherine De Bolle, directora executiva de l’Europol i altres alts funcionaris de l’agència també es van filtrar abans del setembre de 2023, segons va informar Politico al març.

«El 6 de setembre de 2023, la Direcció de l’Europol va ser informada que els fitxers personals en paper de diversos membres del personal de l’Europol havien desaparegut», deia una nota del 18 de setembre, que va ser compartida en un sistema de taulell de missatges intern.

«Tenint en compte el paper de l’Europol com a autoritat de les forces seguretat, la desaparició dels fitxers personals dels membres del personal constitueix un incident greu de seguretat i violació de dades personals».

En el moment de la publicació, el lloc web EPE estava fora de línia i un missatge deia que el servei no estava disponible perquè estava en manteniment.

IntelBroker, l’actor de l’amenaça darrere de les reclamacions de violació de dades, descriu els fitxers com a FOUO i que contenen dades classificades.

L’actor de l’amenaça diu que les dades presumptament robades inclouen informació sobre els empleats de l’aliança, el codi font FOUO, PDF i documents per reconèixer i directrius.

També afirmen haver obtingut accés a EC3 SPACE (Secure Platform for Accredited Cybercrime Experts), una de les comunitats del portal EPE, que allotja centenars de materials relacionats amb la ciberdelinqüència i que utilitzen més de 6.000 experts autoritzats en ciberdelinqüència d’arreu del món, que inclouen:

• Forces de seguretat competents dels estats membres de la UE i dels països no comunitaris;
• Autoritats judicials, institucions acadèmiques, empreses privades, organitzacions no governamentals i internacionals;
• Personal de l’Europol.

IntelBroker també diu que van comprometre la plataforma SIRIUS utilitzada per les autoritats judicials i forces de seguretat de 47 països, inclosos els estats membres de la UE, el Regne Unit, països amb un acord de cooperació amb Eurojust i la Fiscalia Europea (EPPO).

SIRIUS s’utilitza per accedir a proves electròniques transfrontereres en el context d’investigacions i procediments penals.

A més de filtrar captures de pantalla de la interfície d’usuari en línia d’EPE, IntelBroker també va filtrar una petita mostra d’una base de dades EC3 SPACE que suposadament contenia 9.128 registres. La mostra conté el que sembla informació personal d’agents policials i experts en ciberdelinqüència amb accés a la comunitat EC3 SPACE.

«PREU: Envieu ofertes. NOMÉS XMR. Envieu-me missatges als fòrums per establir un punt de contacte. Caldrà un justificant dels fons. Només venc a membres respectables», va dir l’actor d’amenaça en una publicació de divendres en un fòrum de pirateria.

Qui és IntelBroker?

Des del desembre, aquest actor d’amenaça ha estat filtrant dades que suposadament va robar de diverses agències governamentals, com ara l’ICE i l’USCIS, el Departament de Defensa i l’exèrcit dels Estats Units.

No està clar si aquests incidents també estan relacionats amb la presumpta filtració de dades de Five Eyes d’abril de 2024, però algunes de les dades exposades a la publicació del fòrum ICE/USCIS coincideixen amb la publicació de Five Eyes.

IntelBroker es va donar a conèixer després d’infringir una violació de seguretat a DC Health Link, que gestiona els plans d’atenció mèdica per als membres, el personal i les famílies de la Cambra de Representants dels EUA.

La violació de seguretat va provocar una audiència al Congrés després que es van exposar les dades personals de 170.000 persones afectades, inclosos membres i personal de la Cambra de Representants dels Estats Units.

Altres incidents de ciberseguretat relacionats amb aquest actor d’amenaça són les violacions de seguretat de Hewlett Packard Enterprise (HPE), Home Depot,  Weee! servei de queviures i una violació de seguretat suposada de General Electric Aviation.

A principis d’aquesta setmana, IntelBroker també va començar a vendre informació d’accés a la xarxa de l’empresa de seguretat al núvol Zscaler (és a dir, «registres plens de credencials, accés SMTP, accés d’autenticació del punter PAuth, claus de contrasenya SSL i Certificats SSL»).

Més tard, Zscaler va confirmar que van descobrir un «entorn de prova aïllat» exposat en línia, que es va treure fora de línia per a anàlisis forenses tot i que cap empresa, client o entorn de producció, se’n va veure afectat. Zscaler també ha contractat una empresa de resposta a incidents per dur a terme una investigació independent.

Actualització, 13 de maig, 12:09 EDT: En una declaració actualitzada a BleepingComputer, l’Europol diu que el portal no va ser piratejat per una vulnerabilitat o una configuració incorrecta, sinó que, en canvi, els atacants van obtenir accés a les dades mitjançant credencials robades.

L’intent va tenir lloc recentment i es va descobrir immediatament. Ni el sistema bàsic de l’Europol ni els sistemes operatius van ser piratejats, la qual cosa significa que no s’ha vist compromesa cap dada operativa de l’Europol.

La Plataforma d’Experts de l’Europol (EPE) tampoc va ser piratejada. L’única manera d’obtenir accés no autoritzat al sistema era mitjançant el correu electrònic o la contrasenya. Només es podia accedir a una part petita i limitada de l’EPE (grup tancat d’usuaris) mitjançant l’accés no autoritzat.

La Plataforma d’Experts de l’Europol (EPE) no té dades operatives, ni confidencials, ni personals i no es processa cap informació operativa a l’EPE. Més aviat, és una plataforma web col·laborativa perquè els especialistes en diverses àrees de les forces de seguretat intercanviïn idees. L’EPE disposa d’una sèrie d’eines per a la gestió de continguts, com ara blocs o fòrums de missatgeria instantània, calendaris i una wiki. La plataforma té més de 20.000 usuaris. — Europol.