Mail-esca e allegato «malevolo» così Eye Pyramid agiva indisturbato

Roba da programmatori professionisti e accorti, ma non da hacker superesperti. Eye Pyramid - il software malevolo grazie al quale l’ingegnere nucleare Giulio Occhionero e la sorella intercettavano illecitamente le comunicazioni informatiche di politici, istituzioni e pubbliche amministrazioni - è un malware ben fatto, basato su criteri di vulnerabilità abbastanza furbi. Chi ha avuto modo di leggere l’intero codice conferma che si tratta di un programma scritto ad hoc per questi attacchi, e non di un pacchetto comprato online, sui marketplace del deep web.

Il vero punto di forza è stata l’accortezza con il quale Eye Pyramid è stato programmato. Accortezza che ha consentito al software di agire indisturbato per anni (il primo caso risale al 2008), rimanendo invisibile a tutti gli antivirus più diffusi. E se l’organizzazione criminale non avesse scelto di acquistare spazio su server allocati negli Stati Uniti, probabilmente il cyberspionaggio sarebbe andato avanti ancora a lungo. Perché nonostante gli States siano uno dei paesi con più hosting in tutto il mondo, e la possibilità di passare inosservati è maggiore, la collaborazione fra l’Fbi e le nostre forze di Polizia gode, da sempre, di rapporti molto intensi.

Come si propaga
La tecnica con la quale è stato diffuso Eye Pyramid è chiamata “spear phishing”, un’evoluzione intelligente del phishing tradizionale che rende le cosiddette mail esca ancora più difficili da individuare. Perché a scriverti – apparentemente – è un tuo conoscente, un collega, un amico. Nel corso dell’indagine è emerso che una delle mail di maggior successo di questa storia era indirizzata ad alcuni studi commerciali con mittenti e contenuti falsi ma molto credibili. E a svelare l’esistenza del malware è stata proprio una mail indirizzata al responsabile di una importante infrastruttura nazionale, l’Enav.

La mail, ricevuta dal funzionario il 26 gennaio 2016, aveva come mittente uno studio legale con cui il dirigente non aveva mai avuto relazioni. Dopo un’analisi tecnica da parte di una società esterna, la mail è stata segnalata al Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale. L’analisi ha riscontrato che alla mail era allegato un file contenente un malware diffuso in altre campagne di “spear phishing”. Partendo dall’allegato malevolo è stato individuato il server di riferimento sul quale erano memorizzati i file relativi alla configurazione delle macchine compromesse.

CONSIGLI24

I migliori consigli su prodotti di tecnologia, moda, casa, cucina e tempo libero

Scopri di più

LAB24

Il prezzo della benzina oggi in tutta Italia

Scopri di più

Come si installa e cosa fa
Eye Pyramid funziona esclusivamente su sistemi operativi Windows (quindi niente infezioni su prodotti Apple o su smartphone Android). È un malware di tipo “Rat” (Remote access tool), cioè di quelli che consentono, una volta installati, il pieno controllo da remoto del dispositivo infettato. L’installazione è possibile ad una sola condizione: l’utente deve cliccare sull’allegato della mail. Perché è da quello script che parte un file eseguibile che prende possesso del computer. Il famigerato file .exe, una volta eseguito, predispone la macchina alla mossa successiva, e cioè all’installazione di due nuovi file che fanno il lavoro sporco: un file che funge da raccoglitore (e cioè raccoglie tutte le informazioni che gli vengono chieste: password, indirizzi email, ma anche screenshot), e un file che fa da comunicatore (invia tutto il raccolto al server impostato dall’hacker).