Eye Pyramid: cosa è davvero successo

Per compromettere la sicurezza d'un Paese non c'è bisogno di scatenare cyberattacchi contro i server elettorali, come si vocifera sia successo nell'elezione del presidente degli Stati Uniti, Donald Trump: basta molto di meno, com'è certamente successo in Italia con Eye Pyramid.
Un semplice Trojan, un cavallo di troia scritto in Visual Basic ha spiato migliaia di persone, tra i quali alcuni uomini potenti in Italia, per un lungo periodo, prima di essere intercettato. Tra questi uomini illustri troviamo Mario Draghi e Matteo Renzi, ma molti altri, aggiungendo al nome di EyePyramid anche il cognome di “spia dei potenti”. Le dimensioni del fatto potrebbero essere rilevanti anche per la sicurezza nazionale e non solo, viste le cariche occupate da queste persone e in genere da una prima analisi degli indirizzi e-mail coinvolti.
Le indagini sull'evento sono state condotte congiuntamente dagli inquirenti italiani del Cnaipic (Polizia postale) e dalla Crime Division dell'Fbi, con il supporto del Ministero di Giustizia statunitense. Tra le realtà aziendali nostrane compromesse troviamo la Banca d'Italia, Eni, Enel, Enav, molto attive negli ultimi anni e spesso legate a questioni  internazionali.
Secondo quanto pubblicato in queste ore da Federico Maggi, Senior Threat Researcher di Trend Micro, l'attacco ha riguardato una ventina di siti e una ventina di indirizzi e-mail principali.
Secondo l'ordinanza di custodia cautelare del Gip Maria Paola Tomaselli, l'attacco è stato ben poco innovativo e ha utilizzato la libreria MailBee.NET.dll, impiegata per creare applicazioni di posta elettronica. L'ordinanza, datata 6 gennaio, è disponibile in pdf sul sito dell'agenzia Agi.
L'hacker è riuscito è riuscito a compromettere inizialmente 15 indirizzi e-mail, poi tramite l'anonimizzatore Tor ha effettuato l'accesso ad alcuni mail server per inviare alle vittime un classico messaggio con allegato malevolo (forse un pdf), che se aperto sottrae i dati e li manda a delle caselle di posta controllate dall'hacker.

Malware semplice, risultati complessi

In questo modo sono stati rubati 87 GB di dati relativi a 18 mila utenti e 1.800 password. I dati sono stati poi catalogati con tanto di tag, pare 122, Ma le librerie hanno un numero di licenza al quale corrisponde un intestatario, in questo caso i fratelli Occhionero, regolarmente arrestati. Alcuni osservatori sollevano perplessità su hacker che lasciano in giro una regolare licenza: solo le indagini chiariranno l'accaduto.

L'attacco non è particolarmente complesso ed è stato usato non solo recentemente ma anche in molte altre occasioni negli anni passati a partire dal 2010. Va ricordato che azioni di questo genere sono estremamente frequenti: è da qui che si generano le botnet, reti di migliaia di computer connessi e pronti a sferrare un attacco di tipo Ddos.

Eye Pyramid ha usato l'attacco anche per estrarre dati più o meno riservati.

In linea teorica un attacco del genere avrebbe dovuto essere facilmente rilevato e neutralizzato dalla  maggior parte dei software di sicurezza normalmente presenti sugli elaboratori elettronici. Il motivo per il quale non c'è stata intercettazione è ancora al vaglio delle analisi. Se si rilevasse la presenza d'un sapere informatico particolarmente sofisticato, infatti, il ruolo dei due fratelli romani Giulio e Francesca Maria potrebbe essere rimesso in discussione.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here