HazyBeacon: URL di funzioni AWS Lambda sfruttate come canali C2 malware

Le Pubbliche Amministrazioni che erogano servizi cittadini attraverso infrastrutture AWS — portali pagamento, anagrafi digitali, sistemi di prenotazione — si trovano oggi esposte a una minaccia che coinvolge direttamente adeguatezza dei controlli di sicurezza richiesti dal GDPR. La campagna attiva nota come *HazyBeacon* sfrutta le funzioni AWS Lambda e i relativi Function URL come canali di comando e controllo (C2) per malware, aggirando i tradizionali controlli di rete. Per un DPO o un responsabile della conformità significa questo: runtime cloud comunali possono diventare vettori di compromissione invisibili, con potenziale esposizione di dati personali di cittadini e violazione diretta dell'articolo 32 del GDPR sulla sicurezza del trattamento.

Lambda Function URL come superficie d'attacco non monitorata

Le Function URL di AWS Lambda sono endpoint HTTPS nativi che espongono funzioni serverless direttamente a Internet senza passare tramite API Gateway. Nella campagna HazyBeacon, gli attaccanti registrano un singolo componente backdoor Windows — identificato come ladro di informazioni — che utilizza proprio questi URL come infrastruttura C2. Per le PA che ospitano carichi di lavoro su AWS, il rischio è concreto: funzioni Lambda legittime usate per servizi comunali possono coesisterne di compromesse, o le stesse URL possono essere utilizzate come canali di esfiltrazione dati cittadini. Senza controlli runtime che distinguano chiamate autorizzate da quelle malevole, il traffico C2 viaggia indistinguibile dal flusso applicativo legittimo.

Violazione dell'articolo 32 GDPR: misure tecniche inadeguate

L'articolo 32 impone al titolare del trattamento di adottare misure tecniche e organizzative adegurate, incluse la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza permanente dei sistemi. Quando un runtime AWS contiene chiamate non autorizzate che non vengono rilevate né respinte, la misura tecnica è per definizione inadeguata. Le PA che gestiscono dati sanitari, fiscali o anagrafici su infrastrutture cloud senza monitoraggio runtime delle funzioni serverless non possono dimostrare conformità. Il Garante potrà contestare la violazione sia per l'evento compromissione sia per l'assenza di capaci — durante il periodo precedente — di rilevare il canale C2 attivo.

La specificità del rischio per i servizi comunali

I servizi cloud delle PA hanno un profilo di rischio distintivo rispetto al settore privato. Il volume di dati personali trattati per ogni funzione è elevato, spesso include minori o categorie particolari di dati, e la continuità del servizio ha un impatto diretto sui diritti dei cittadini. Una compromissione che sfrutta Lambda Function URL come canale C2 non è un incidente IT astratto: è un potenziale accesso non autorizzato al sistema informativo comunale con conseguenze su centinaia o migliaia di interessati, obbligo di notifica al Garante entro 72 ore, e responsabilità amministrativa diretta del DPO e del dirigente della funzione informativa.

Cosa offre Security Reviewer per le PA — prospettiva pa-reviewer

Security Reviewer, nella sua configurazione pa-reviewer pensata per Pubbliche Amministrazioni, integra analisi runtime dei carichi di lavoro cloud con rilevamento di comunicazioni anomale verso e da endpoint serverless. L'approccio si concentra su tre fronti: mappatura automatica delle funzioni Lambda esposte e dei relativi URL, identificazione di chiamate verso endpoint non presenti nel baseline autorizzato, e correlazione con pattern di conosciuta threat intelligence come HazyBeacon — per segnalare le deviazioni prima che diventino incidenti sui dati.

Se gestite infrastrutture AWS per servizi cittadini e non avete visibilità runtime sulle vostre funzioni Lambda, il momento di verificare è adesso — non dopo una notifica di violazione. Contattate Security Reviewer per una valutazione dell'esposizione delle vostre funzionalità cloud ai vettori C2 attivi e per definire i controlli tecnici necessari a dimostrare conformità all'articolo 32 del GDPR durante il prossimo ciclo di audit.

---

*Photo by Domaintechnik Ledl.net on Unsplash*