Tecnologia

Mail-esca e allegato «malevolo» così Eye Pyramid agiva…

TECNOLOGIA

Mail-esca e allegato «malevolo» così Eye Pyramid agiva indisturbato

Roba da programmatori professionisti e accorti, ma non da hacker superesperti. Eye Pyramid - il software malevolo grazie al quale l’ingegnere nucleare Giulio Occhionero e la sorella intercettavano illecitamente le comunicazioni informatiche di politici, istituzioni e pubbliche amministrazioni - è un malware ben fatto, basato su criteri di vulnerabilità abbastanza furbi. Chi ha avuto modo di leggere l’intero codice conferma che si tratta di un programma scritto ad hoc per questi attacchi, e non di un pacchetto comprato online, sui marketplace del deep web.

Il vero punto di forza è stata l’accortezza con il quale Eye Pyramid è stato programmato. Accortezza che ha consentito al software di agire indisturbato per anni (il primo caso risale al 2008), rimanendo invisibile a tutti gli antivirus più diffusi. E se l’organizzazione criminale non avesse scelto di acquistare spazio su server allocati negli Stati Uniti, probabilmente il cyberspionaggio sarebbe andato avanti ancora a lungo. Perché nonostante gli States siano uno dei paesi con più hosting in tutto il mondo, e la possibilità di passare inosservati è maggiore, la collaborazione fra l’Fbi e le nostre forze di Polizia gode, da sempre, di rapporti molto intensi.

Come si propaga
La tecnica con la quale è stato diffuso Eye Pyramid è chiamata “spear phishing”, un’evoluzione intelligente del phishing tradizionale che rende le cosiddette mail esca ancora più difficili da individuare. Perché a scriverti – apparentemente – è un tuo conoscente, un collega, un amico. Nel corso dell’indagine è emerso che una delle mail di maggior successo di questa storia era indirizzata ad alcuni studi commerciali con mittenti e contenuti falsi ma molto credibili. E a svelare l’esistenza del malware è stata proprio una mail indirizzata al responsabile di una importante infrastruttura nazionale, l’Enav.

La mail, ricevuta dal funzionario il 26 gennaio 2016, aveva come mittente uno studio legale con cui il dirigente non aveva mai avuto relazioni. Dopo un’analisi tecnica da parte di una società esterna, la mail è stata segnalata al Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale. L’analisi ha riscontrato che alla mail era allegato un file contenente un malware diffuso in altre campagne di “spear phishing”. Partendo dall’allegato malevolo è stato individuato il server di riferimento sul quale erano memorizzati i file relativi alla configurazione delle macchine compromesse.

Come si installa e cosa fa
Eye Pyramid funziona esclusivamente su sistemi operativi Windows (quindi niente infezioni su prodotti Apple o su smartphone Android). È un malware di tipo “Rat” (Remote access tool), cioè di quelli che consentono, una volta installati, il pieno controllo da remoto del dispositivo infettato. L’installazione è possibile ad una sola condizione: l’utente deve cliccare sull’allegato della mail. Perché è da quello script che parte un file eseguibile che prende possesso del computer. Il famigerato file .exe, una volta eseguito, predispone la macchina alla mossa successiva, e cioè all’installazione di due nuovi file che fanno il lavoro sporco: un file che funge da raccoglitore (e cioè raccoglie tutte le informazioni che gli vengono chieste: password, indirizzi email, ma anche screenshot), e un file che fa da comunicatore (invia tutto il raccolto al server impostato dall’hacker).

Perché quel nome
Nella lettura del codice è emerso più di un dettaglio che avvicina il nome del malware - Eye Pyramid – a riferimenti di tipo massonico. Difficile, allo stato attuale, chiarire con certezza eventuali legami. Ma è una pista.

Un cambio di paradigma
Andrea Rigoni, esperto di cyber sicurezza e partner di Deloitte, in passato ha avuto incarichi importanti a Palazzo Chigi (quando il premier era Enrico Letta). Un’operazione come quella di Eye Pyramid non lo lascia indifferente. «Questa – dice Rigoni al Sole 24 Ore - è l’ennesima conferma dell’asimmetria esasperata dal cyber: ciò che vent’anni fa sarebbe stato possibile solo a governi con ingenti investimenti, oggi è alla portata di molti se non di tutti. E ciò comporta un cambio di paradigma: la Cyber non va più affrontata con gli approcci tradizionali». Secondo Rigoni, tecniche di spear phishing come quelle utilizzate da EyePyramid «sebbene note e stranote, sono ancora molto efficaci. Vale ancora la raccomandazione della nonna riadattata al digitale: non dare confidenza agli sconosciuti e insospettirsi delle più piccole anomalie anche se provengono da gente conosciuta». Perché se è vero che «la tecnologia ci dà un buon livello di protezione», è altrettanto vero che «come in ogni settore della sicurezza, il fattore umano, i comportamenti e le procedure sono fondamentali». Inoltre, «EyePyramid è la dimostrazione che la collaborazione tra pubblico e privato può portare risultati importanti».

Pochi investimenti
Per Stefano Mele, avvocato specializzato in cyber security, «Questa inchiesta conferma quello che stiamo dicendo da tempo. Se un’azione di spionaggio del genere è alla portata di due civili, immaginiamoci quanto è facile per un governo. Siamo davanti a un problema culturale. Queste situazioni vengono affrontate in modo troppo leggero, come se fossimo ancora negli anni ’90. Mancano investimenti veri in cyber sicurezza, e questo è il risultato».

© Riproduzione riservata