Eye Pyramid, così le spie controllavano 18.000 computer. Un malware per l’accesso totale

Politici come gli ex premier Matteo Renzi e Mario Monti, vertici di istituzioni come il presidente della Bce Mario Draghi e l’ex comandante generale della Guardia di Finanza, Saverio Capolupo, religiosi come il cardinal Ravasi, enti come l’Enav e la Regione Lazio. Tutti vittime di una massiccia attività di cyberspionaggio organizzata dai due fratelli Giulio e Francesca Maria Occhionero, arrestati oggi nel corso di un’operazione condotta dalla Polizia postale e coordinata dalla procura di Roma. Operavano da soli o per conto di qualcuno? Quali segreti sono riusciti a carpire nel corso di almeno sei anni di hackeraggio? Sono alcuni degli interrogativi cui i prossimi accertamenti, anche con rogatorie negli Usa, potrebbero dare risposta.

MALWARE PER INFETTARE PC – Il metodo usato dagli Occhionero – 45 anni Giulio, ingegnere nucleare, già venerabile maestro di una loggia massonica collegata al Grande Oriente d’Italia, 49 anni Francesca Maria, entrambi residenti a Londra ma domiciliati a Roma – era quello classico del malware: un virus (Eye Pyramid, da cui prende anche il nome l’operazione) che, una volta installato non solo garantisce all’hacker il controllo da remoto del sistema infettato, ma permette anche di sottrarre integralmente i documenti contenuti senza che la vittima possa accorgersene. Lo stesso malware compariva nell’inchiesta sulla cosiddetta P4, ma allora non era stato possibile risalire al reale utilizzatore.

INTRUSIONE IN ENAV FA SCATTARE INDAGINE – A far scattare l’indagine un messaggio di posta elettronica inviato all’Enav spa. Il responsabile sicurezza dell’ente, insospettito dalla mail proveniente apparentemente da uno studio legale con cui non aveva mai avuto rapporti, anziché aprirla, la invia ad una società specializzata che individua la presenza del malware. La segnalazione viene quindi inviata alla Polizia postale che, al termine di complesse rilevazioni, riesce a risalire agli Occhionero.

DATABASE CON 18MILA NOMI – Nelle mani degli esperti della polizia postale c’è un database con oltre 18.327 username catalogati in 122 categorie: politici, affari, massoni, ecc. E ci sono anche migliaia di file cifrati che si proverà ad aprire superando le protezioni poste. I server in cui i due avevano immagazzinato le informazioni raccolte sono stati sequestrati negli Stati Uniti dall’Fbi. Tramite rogatoria verrà chiesto l’accesso al contenuto per capire con esattezza quanti e quali dati sono stati rubati ed il reale giro d’interessi degli Occhionero.

RENZI E DRAGHI TRA GLI SPIATI – Nell’elenco degli spiati figura dunque Renzi, che nel giugno scorso ha subito due tentativi di intrusione nella mail personale. Tra giugno e luglio sono stati registrati due assalti all’account istituzionale di Mario Draghi. E aggressioni telematiche attraverso Eye Pyramid hanno riguardato anche l’ex premier Mario Monti, Piero Fassino, Fabrizio Cicchitto, Maria Vittoria Brambilla, Ignazio La Russa, Fabrizio Saccomanni. Infettati poi i computer di due collaboratori del cardinale Gianfranco Ravasi, presidente del Pontificio Consiglio della Cultura. Hackerati poi studi legali, agenzie di assicurazioni, Regioni, sindacati, società.

PERICOLO COMPROMISSIONI A SICUREZZA NAZIONALE – A partire dallo scorso 4 ottobre Giulio Occhionero – subodorando di essere controllato – ha iniziato a distruggere gli elementi di prova a suo carico cancellando dati che erano presenti nel suo pc e su alcuni server da remoto. Nell’ordinanza di custodia, emessa dal gip Maria Paola Tomaselli, si parla di «disegno criminoso volto ad acquisire, tramite l’utilizzo del malware, informazioni e dati sensibili che permettessero ai due di avvantaggiarsi nel modo della politica e dell’alta finanza». Ed il pericolo rappresentato dai fratelli era «estremamente grave» nel momento in cui le loro violazioni riguardavano la sicurezza nazionale come nel caso dell’Enav. Ed i dati che saranno acquisiti con la rogatoria negli Usa potrebbero anche far emergere delitti contro la personalità dello Stato.

COME FUNZIONA?

COSÌ SONO STATI SPIATI POLITICI E ISTITUZIONI – Una botnet, una vasta rete di computer, creata infettando i dispositivi con il malware EyePyramid: è questo il sistema usato da due persone, un ingegnere nucleare e sua sorella, accusate di aver realizzato una centrale di spionaggio con cui sono stati raccolti per anni dati sensibili e notizie sull’intero establishment italiano.

La coppia è stata scoperta proprio grazie allo stesso mezzo che ha usato per dare il via all’azione di cyberspionaggio, cioè una mail infetta. Eye Pyramid è un malware vecchio (risale al 2008) e non molto conosciuto, già usato in attacchi informatici mirati, che necessita di un aggiornamento tecnologico per poter operare negli anni. È di tipo ‘Rat’ (Remote access tool) cioè consente una volta installato il pieno controllo da remoto del dispositivo infettato, non solo spiare dati ma anche fare screenshot. Si avvale di una rete di computer – o botnet – che viene infettata col malware stesso e che ha consentito agli hacker di acquisire in maniera silenziosa le informazioni per poi riversarle all’interno di server localizzati negli Stati Uniti. Un altro modo per la rete di cyberspionaggio di passare inosservata, poiché gli Usa sono uno dei paesi con più hosting in tutto il mondo. Come cercare un ago in un pagliaio. A svelare l’esistenza del malware e causare una sorta di effetto domino che ha portato ai due arresti è stata proprio una delle procedure che hanno portato alla diffusione del virus all’interno dei computer colpiti da Eye Pyramid: una mail indirizzata al responsabile di una importante infrastruttura nazionale, l’Enav, contenente appunto il malware. La mail, ricevuta dal funzionario il 26 gennaio 2016, aveva come mittente uno studio legale con cui il dirigente non aveva mai avuto relazioni. Dopo un’analisi tecnica da parte di una società esterna, la mail è stata segnalata al Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale. L’analisi ha riscontrato che alla mail era allegato un file contenente un malware diffuso in altre campagne di ‘spear phishing’, un tipo di phishing più sofisticato realizzato ‘ad hoc’ per particolari individui o società. Partendo dall’allegato malevolo è stato individuato il server di riferimento per il malware Eye Pyramid sul quale erano memorizzati i file relativi alla configurazione delle macchine compromesse, cioè la botnet occulta.