Per compromettere la sicurezza d’un Paese non c’è bisogno di scatenare cyberattacchi contro i server elettorali, come si vocifera sia successo nell’elezione del presidente degli Stati Uniti, Donald Trump: basta molto di meno, com’è certamente successo in Italia con Eye Pyramid.
Un semplice Trojan, un cavallo di troia scritto in Visual Basic ha spiato migliaia di persone, tra i quali alcuni uomini potenti in Italia, per un lungo periodo, prima di essere intercettato. Tra questi uomini illustri troviamo Mario Draghi e Matteo Renzi, ma molti altri, aggiungendo al nome di EyePyramid anche il cognome di “spia dei potenti”. Le dimensioni del fatto potrebbero essere rilevanti anche per la sicurezza nazionale e non solo, viste le cariche occupate da queste persone e in genere da una prima analisi degli indirizzi e-mail coinvolti.
Le indagini sull’evento sono state condotte congiuntamente dagli inquirenti italiani del Cnaipic (Polizia postale) e dalla Crime Division dell’Fbi, con il supporto del Ministero di Giustizia statunitense. Tra le realtà aziendali nostrane compromesse troviamo la Banca d’Italia, Eni, Enel, Enav, molto attive negli ultimi anni e spesso legate a questioni internazionali.
Secondo quanto pubblicato in queste ore da Federico Maggi, Senior Threat Researcher di Trend Micro, l’attacco ha riguardato una ventina di siti e una ventina di indirizzi e-mail principali.
Secondo l’ordinanza di custodia cautelare del Gip Maria Paola Tomaselli, l’attacco è stato ben poco innovativo e ha utilizzato la libreria MailBee.NET.dll, impiegata per creare applicazioni di posta elettronica. L’ordinanza, datata 6 gennaio, è disponibile in pdf sul sito dell’agenzia Agi.
L’hacker è riuscito è riuscito a compromettere inizialmente 15 indirizzi e-mail, poi tramite l’anonimizzatore Tor ha effettuato l’accesso ad alcuni mail server per inviare alle vittime un classico messaggio con allegato malevolo (forse un pdf), che se aperto sottrae i dati e li manda a delle caselle di posta controllate dall’hacker.
Malware semplice, risultati complessi
In questo modo sono stati rubati 87 GB di dati relativi a 18 mila utenti e 1.800 password. I dati sono stati poi catalogati con tanto di tag, pare 122, Ma le librerie hanno un numero di licenza al quale corrisponde un intestatario, in questo caso i fratelli Occhionero, regolarmente arrestati. Alcuni osservatori sollevano perplessità su hacker che lasciano in giro una regolare licenza: solo le indagini chiariranno l’accaduto.
L’attacco non è particolarmente complesso ed è stato usato non solo recentemente ma anche in molte altre occasioni negli anni passati a partire dal 2010. Va ricordato che azioni di questo genere sono estremamente frequenti: è da qui che si generano le botnet, reti di migliaia di computer connessi e pronti a sferrare un attacco di tipo Ddos.
Eye Pyramid ha usato l’attacco anche per estrarre dati più o meno riservati.
In linea teorica un attacco del genere avrebbe dovuto essere facilmente rilevato e neutralizzato dalla maggior parte dei software di sicurezza normalmente presenti sugli elaboratori elettronici. Il motivo per il quale non c’è stata intercettazione è ancora al vaglio delle analisi. Se si rilevasse la presenza d’un sapere informatico particolarmente sofisticato, infatti, il ruolo dei due fratelli romani Giulio e Francesca Maria potrebbe essere rimesso in discussione.
Vorrei precisare che non si chiama hacker la persona che attacca ma cracker.
Hacker viene definito come un persona che scrive righe di codice alla velocità della luce.
Il cracker è quello che ha intenti malevoli.