Spear Phishing e malware Eye Pyramid per la rete di spionaggio IT

Spear Phishing e malware Eye Pyramid per la rete di spionaggio IT

Spear Phishing e malware Eye Pyramid per la rete di spionaggio IT

Si chiama Eye Pyramid, dal nome del malware utilizzato, l’inchiesta della Polizia Postale italiana che ha portato ieri, mercoledì 10 gennaio, all’arresto di 2 persone accusate di aver spiato per oltre 6 anni esponenti della politica, dello Stato e altri professionisti del settore giuridico economico italiano.

Gli arrestati sono Giulio e Francesca Maria Occhionero, conosciuti negli ambienti dell’alta finanza, residenti a Londra ma domiciliati a Roma. I reati di cui sono accusati sono procacciamento di notizie concernenti la sicurezza di Stato, accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni informatiche. Ai due arrestati viene contestata anche l’aggravante prevista dall’articolo 615 ter del Codice penale (accesso abusivo a sistema informatico/telematico) in quanto si è trattato dell’acquisizione illecita di informazioni collegata alla sicurezza nazionale.

Secondo quanto riporta l’ordinanza del GIP Maria Paola Tomaselli, accedendo alle caselle di posta elettronica, la coppia di fratelli è riuscita per anni ad acquisire dalle numerosissime vittime prescelte notizie riservate, dati sensibili, informazioni, tutto custodito su impianti informatici statunitensi, ora sequestrati dalla polizia in collaborazione con la Cyber Division dell’FBI Usa. I fratelli facevano dossier su politici, manager, banchieri o economisti di livello nazionale e avevano creato, secondo gli inquirenti, una centrale di cyperspionaggio per monitorare istituzioni, pubbliche amministrazioni, studi professionali, imprenditori. Partendo da una lista 18.327 target, erano stati ottenuti in 1.793 casi anche le password (quando le infezioni andavano a segno). Non è ancora chiaro quanti di questi account siano poi stati effettivamente “svuotati” di tutte le informazioni, ma inizialmente si è parlato sui giornali di persone del calibro di Matteo Renzi (a cui sarebbe stato hackerato lo smartphone della Apple), Mario Monti, Mario Draghi, il comandante generale della Guardia di Finanza Saverio Capolupo, il banchiere Fabrizio Saccomanni, più molti altri. Nella lista apparsa ieri sui giornali anche i nomi di Piero Fassino, Daniele Capezzone, Ignazio La Russa e Vincenzo Scotti, Alfonso Papa, Walter Ferrara, Paolo Bonaiuti, Michela Brambilla, Luca Sbardella, Fabrizio Cicchitto, Vincenzo Fortunato, Mario Canzio, il cardinale Gianfranco Ravasi, Paolo Poletti della Gdf. Tra gli osservati molti gli appartenenti a una loggia massonica. La pista massonica viene ora seguita dagli inquirenti, che hanno già individuato 4 indirizzi mail che ricevevano informazioni in automatico, gli stessi indirizzi email già emersi nell’inchiesta della P4 dei pm Woodcock e Curcio nel 2011.

Come è partita l’indagine della Polizia Postale

Secondo quanto detto ieri dal Direttore del servizio di polizia postale, Roberto Di Legami (che però in serata è stato rimosso dal suo incarico da Gabrielli, con l’accusa di non averlo informato delle attività in corso), l’indagine è durata 8 mesi, da marzo 2016, dopo la segnalazione da parte di un Responsabile della Sicurezza di un’azienda di infrastrutture critiche convenzionata con il CNAIPIC. “Avevano ricevuto una mail da uno studio legale con cui non avevano mai avuto rapporti in precedenza – ha detto Di Legami – Un professionista della sicurezza si è quindi allarmato”. L’indagine con la Polizia Postale ha mostrato che l’indirizzo IP del computer che aveva mandato il messaggio sospetto apparteneva a “un nodo di uscita della rete di anonimazione Tor” e che l’indirizzo di mail utilizzato faceva parte di una serie di indirizzi di noti studi professionali “agganciati” con il phishing.

La mail in questione conteneva un virus, un malware diffuso in altre campagne di “spear phishing” denominato Eye Pyramid, che sarebbe stato acquistato negli USA da Giulio Occhionero: come riporta l’ordinanza, l’analisi tecnica svolta dalla società Mentat e gli ulteriori accertamenti dell’FBI Usa sono serviti a risalire all’acquisto della licenza Mailbee (utilizzata all’interno del codice malevolo) da parte di Giulio Occhionero, dalla società americana Afterlogic Corporation.

Una volta infettato un sistema, il malware era in grado di inoltrare verso un altro server localizzato negli Stati Uniti tutto il contenuto del dispositivo. Si tratta di un malware di tipo “Rat” (Remote access tool) che consente una volta installato il pieno controllo da remoto del dispositivo infettato. In questo modo gli Occhionero erano in grado di fare una copia del contenuto dei vari apparecchi e di sapere cosa l’utente stava digitando sulla tastiera. “Una volta installato – ha scritto il Gip Maria Paola Tomaselli – il malware non solo garantisce all’attaccante il totale controllo del sistema infettato ma permette la totale sottrazione di documenti e di altre informazioni, incluse quelle riservate, prima che la vittima possa accorgersene”. La collaborazione con l’FBI Usa è stata fondamentale per recuperare, dai server in hosting, i file relativi alla configurazione delle macchine compromesse. Conclusa questa prima fase dell’indagine, con l’arrivo dei server dall’America proseguirà l’attività della Polizia con un’indagine tradizionale, compresi gli interrogatori con i 2 accusati. Parte del materiale inoltre deve anche ancora essere decriptato.

Quale è il profilo dei 2 accusati

Lui ingegnere nucleare, con competenze avanzate in ambito informatico, ma con caratteristiche personali particolari, come ha spiegato Di Legami in un’intervista. Vita ritirata e attenzione ossessiva alle informazioni. Per lungo tempo appartenente a una loggia massonica. E’ stata poi anche l’ordinanza di custodia cautelare a certificare i legami di Giulio Occhionero “con gli ambienti della massoneria italiana, in quanto membro della loggia ‘Paolo Ungari – Nicola Ricciotti Pensiero e Azione’ di Roma, della quale in passato ha ricoperto il ruolo di maestro venerabile, parte delle logge di Grande Oriente d’Italia”.

Cosa è stato fatto delle informazioni trafugate.

Il possibile uso dei dati rubati è ancora tutto da chiarire. Al momento non ci sono evidenze di attività estorsive, ha detto Di Legami, attività che, se ci fossero state, sarebbero emerse negli 8 mesi di indagine.

Come tutto ciò è potuto succedere?

Mentre il codice malevolo utilizzato era molto sofisticato, il metodo con cui è stato infiltrato nei sistemi è stato molto semplice. “Arrivava una mail al diretto interessato, proveniente da una fonte ritenuta di fiducia, e quindi aperta. Una volta cliccato sull’allegato, il gioco era fatto” ha detto Di Legami. Un malware ingegnerizzato in modo tale da non lasciare traccia. Ma chiaramente sarebbe stato utile seguire alcune regole basilari di sicurezza, come insospettirsi per qualsiasi mail “strana” con allegato e cambiare la password di frequente.

A cura di:

Elena Vaciago, The Innovation Group