\ Federico

EYE PYRAMID – E’ di qualche giorno fa, la notizia della creazione di una complessa rete di intercettazione per rubare, attraverso un malware, dati sensibili (nome utente, password, account email etc) per poi sfruttarli come ricatto da parte dei fratelli Occhionero. La stampa cita nomi illustri come l’ex premier Matteo RenziMario Draghi e Mario Monti. Nell’articolo illustreremo come molte notizie siano delle vere e proprie bufale.

Cos’è un malware?

Un malware è un qualsiasi software dannoso usato per accedere in modo anonimo ad un dispositivo, senza che l’utente ne sia a conoscenza. Con il termine malware si indicano anche altri tipi di software, tra cui spyware, trojan, rootkit, ransomware, dirottamenti dei browser, adware e phishing. I malware ottengono accesso al dispositivo tramite internet ed email, molte volte possono anche sfruttare falle di sicurezza di alcuni siti per diffondersi. Questi tipi di malware in genere sono sviluppati solo per sistemi operativi Windows, ma negli anni sono stati creati malware capaci di infettare anche il sistema operativo Apple (OSX).


Come si viene infettati?

Il malware viene distribuito tramite email. A chi di noi non è mai arrivata una finta email da SDA o Bartolini dove ci veniva consigliato di aprire l’allegato per leggere l’importo della fattura? Bene, aprendo quel PDF il malware inizia a diffondersi in tutto il PC. Per difendersi occorre aggiornare costantemente il proprio antivirus o Internet security e leggere in modo attento il mittente della mail. Se si è dubbiosi, meglio leggere la mail da un dispositivo mobile (tablet, smartphone), di solito la maggior parte dei malware sono innocui su questi dispositivi.


Cos’è Eye Pyramid?

Eye Pyramid è un malware molto vecchio (2008), ma mai riuscito a debellare. Nei vari anni, molti cyber-criminali hanno continuato ad aggiornare il suo codice per tenerlo al passo con i tempi. Basti pensare che la prima versione conteneva solo un keylogger (dispositivo capace di leggere tutti i tasti digitati sulla tastiera), ora invece è capace di inviare report a multipli indirizzi email, grazie all’aggiunta di uno dei suoi componente principali, “MailBee.NET”. Il un malware di tipo “RAT (Remote Access Tool)” una volta installato prende il pieno controllo da remoto, del PC, permettendo di fare screenshot, rubare nomi utente, password ed email, l’unico punto debole del malware è il codice, il malware è stato sviluppato in Visual Studio ed è pericoloso solo su sistemi operativi Windows, quindi possiamo scongiurare la prima bufala della stampa; Impossibile che siano stati rubati i dati dell’ex premier, perché, come spesso abbiamo potuto vedere l’ex premier ama i prodotti Apple ed era in possesso di un iPhone e di un Mackbook, quindi, se non ha usato nessun dispositivo Windows, non ha avuto nessun furto di dati.


Come sono stati scoperti?

I fratelli Occhionero hanno commesso tanti piccoli errori che, sommati, hanno portato allo scoperto la rete criminale.

Tutto è partito dall’invio di un’allegato tramite l’indirizzo email di uno studio legale, al dott. Francesco Di Maio responsabile della sicurezza presso l’ENAV S.p.A. Ricevuta la mail, il Dott. Di Maio non ha aperto l’allegato, non avendo mai avuto rapporti con lo studio legale, ma ha provveduto ad inviare la stessa mail, per un’analisi tecnica, alla società MENTAT solution S.r.l. (società operante nel settore della sicurezza informatica). I tecnici della società, analizzando l’header del messaggio hanno scoperto che il mittente utilizzava un mail server di Aruba S.p.A. Gli accertamenti effettuati presso Aruba hanno accertato che per inviare le email, tramite il servizio webmail, veniva utilizzato un IP (37.49.226.236) facente parte di un nodo della rete TOR. Ad ogni modo l’account faceva parte di una lista di account di molti studi legali, violati in seguito ad un’infezione avvenuti parecchi anni prima. A questo punto, i tecnici, hanno spostato la loro attenzione sul malware.

Dall’analisi, i tecnici hanno notato molte analogie con un malware già conosciuto nell’Ottobre 2014, quando la società ENI S.p.A. contattò la Mentat per ricezione di messaggi con contenuto malevolo, l’unico particolare diverso è che nella nuova versione, il malware mandava regolarmente dei rapporti ad indirizzi email criptati e con dominio @gmx.com. Attraverso un programma di decriptazione della MENTAT, i tecnici sono riusciti a decriptare alcuni dei file trasmessi. Partendo dagli allegati sono stati in grado di trovare un server Command and Control (Una Botnet), utilizzato per gestire tutti i sistemi infetti e sul quale venivano memorizzati tutti i file rubati. Altro particolare interessante era la libreria “MailBee.NET.dll”, utilizzata per sottrarre i file tramite protocolli di posta elettronica.

Un piccolo appunto, da Maggio 2010 a Dicembre 2015, tutte le versioni del programma hanno utilizzato sempre la stessa licenza, caratterizzata da un codice univoco.

Prontamente la società MENTAT ha inoltrato richiesta alla AFTERLOGIC  Corporation, per fornire le generalità del proprietario della licenza. Nel frattempo altri tecnici della MENTAT hanno scoperto che la versione attuale del malware inoltrava tutto il contenuto delle caselle email con dominio @gmx.com, verso un account con dominio hostpenta.com, registrato tramite il servizio “who is” dalla PERFECT PRIVACY LLC con sede in Florida. Il servizio, per chi non lo sapesse, serve ad oscurare i dati del reale titolare del dominio. Lo stesso dominio risultava collegato anche ad altri domini, tra cui eyepyramid.com, occhionero.com e occhionero.net, tutti registrati presso la PERFECT PRIVACY LLC. Da analisi più approfondite e fatta richiesta alla società di fornire le generalità dell’intestatario, è emerso che tutti i domini erano riconducibili a Giulio Occhionero o a società a lui collegate.

Con ulteriori accertamenti svolti dall’F.B.I. presso L’AFTERLOGIC Corporation, è emerso che la licenza MailBee.NET Object, acquistata ed utilizzata da Maggio 2010 a Dicembre 2015 era intestata a Giulio Occhionero.

Attraverso intercettazioni dell’utenza telefonica di Occhionero emergeva, tramite varie telefonate, che lo stesso aveva piena disponibilità e gestione del server dove venivano memorizzati tutti i dati provenienti dai PC infetti.

Con tutti questi dati gli inquirenti hanno proceduto alla perquisizione della casa dei fratelli Occhionero e al sequestro del materiale.


Quali sono gli errori commessi?

Se ancora non vi sono chiari gli errori commessi dai 2 fratelli, gli riepiloghiamo in 3 punti:

  1. Registrazione con dati personali di domini con scopi diversi (Privato e Cyber-spionaggio).
  2. Acquisto del componente principale del malware con i propri dati. (Licenza MailBee.NET)
  3. Connessioni non protette con i server in America. (Connessioni tramite remote desktop dalla linea di casa)

Attraverso questi piccoli errori, i 2 fratelli sono stati scoperti e ora sono in attesa di giudizio.

Se volete leggere tutta l’ordinanza, potete cliccare su questo link.


Conclusioni

Eye Pyramid è senza dubbio efficace, ma inutilizzabile su sistemi OSX e su  un utente attento. Se nessuno avesse aperto quelle email, i fratelli occhionero non sarebbero riusciti a recuperare nessun dato. Ricordate sempre di visitare siti protetti e con certificati SSL (Https), di utilizzare password molto lunghe e complesse (Lettere minuscole, maiuscole, numeri, simboli), non utilizzare la stessa password per tutti gli account (posta, conto bancario, sito, email) e se siete dubbiosi dell’email arrivata apritela con uno smartphone o in una macchina virtuale.

 

Se l’articolo ti è piaciuto, lascia un like alla nostra pagina facebook, dai un punteggio all’articolo oppure commentalo.

A presto!

Commenti

Seguici sui social
Post Popolari