LA SCHEDA

Così funzionava l’organizzazione di Eye Pyramid

Messa a fuoco dei bersagli e rete di contatti: ecco strategia e tattiche della squadra che ha colpito la privacy di istituzioni e politica in Italia. Trafugate 18.327 username e 1.793 password dal 2012 a oggi

Pubblicato il 11 Gen 2017

A.S.

hacker-sicurezza-cybersecurity-160428113655

L’ordinanza di custodia cautelare nei confronti di Giulio e Francesca Maria Occhionero, arrestati ieri con l’accusa di aver progettato e gestito una centrale di cyberspionaggio ai danni dei vertici della politica, delle istituzioni e del mondo economico e finanziario italiano offre un quadro di come l’organizzazione operava e di quale fosse la reale portata dell’attacco. Ad analizzare i dati è Federico Maggi, senior threat researcher di Trend Micro, che ha messo a punto una prima analisi a caldo sull’operazione. L’analisi si basa, oltre che sull’ordinanza, su una serie di analisi condotte dal ricercatore su fonti pubbliche e cerca di limitarsi alle questioni tecnicamente rilevanti, tralasciando informazioni personali come nomi e cognomi di facile reperibilità.

L’obiettivo dell’attacco, ricostruisce il ricercatore, è stato il furto di informazioni riservate quali, ad esempio, 18.327 username, 1.793 password, e una grande quantità di dati digitati via tastiera rubati attraverso un keylogger. Si stima che i cybercriminali abbiano raccolto in totale circa 87GB di dati.

Il Cyberspionaggio andava avanti dal 2012, e le precedenti versioni del malware impiegato sembrano essere state utilizzate nel 2008, 2010, 2011 e 2014 in diverse campagne di spear-phishing.

Le informazioni riservate oggetto di furto sono riferite, prodotte o in altro modo appartenenti a professionisti, privati e pubblici, operanti in settori chiave dello Stato. I domini degli indirizzi email sono enav.it, istruzione.it, gdf.it, bancaditalia.it, camera.it, senato.it, esteri.it, tesoro.it, finanze.it, interno.it, istut.it, matteorenzi.it, partitodemocratico.it, pdl.it, cisl.it, comune.roma.it, regione.campania.it, regione.lombardia.it, unibocconi.it

L’attacco, ricostruisce Maggi, si è svolto in sei fasi. Innanzitutto l’aggressore ha preparato una versione modificata di un malware che sembra fare hooking delle Api di MailBee.NET.dll, libreria .Net usata per creare applicazioni di posta elettronica, per intercettare i dati gestiti dai programmi di posta elettronica. Gli hacker sarebbero poi riusciti a compromettere alcune caselle email, almeno 15 quelle note, in particolare caselle appartenenti a vari studi legali. Il passo successivo è stato il collegamento alla rete Tor. Poi attraverso un mail server sono state inviate delle mail alle vittime usando come mittente un indirizzo email delle caselle compromesse, contenenti un allegato malevolo, c’è chi sostiene che si tratti di un Pdf. Infine il sistema attende che le vittime aprano gli allegati, avviando quindi il malware, che invia i dati sottratti verso diverse caselle di posta gestite dall’aggressore.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!