Come funziona Eyepyramid, il malware che spia i politici

Giulio Occhionero e Francesca Maria Occhionero, un ingegnere nucleare e sua sorella, residenti a Londra ma domiciliati a Roma sono stati arrestati oggi con l’accusa di procacciamento di notizie concernenti la sicurezza dello Stato, accesso abusivo a sistema informatico aggravato ed intercettazione illecita di comunicazioni informatiche e telematiche. I due Occhionero avrebbero usato un malware chiamato Eye Pyramid per spiare i contenuti dei computer di politici. Il virus informatico avrebbe infettato decine di computer e consentito la creazione di una botnet grazie alla quale per anni sono state acquisite illecitamente notizie riservate e dati sensibili di decine di persone che, a vario titolo, gestiscono la funzione pubblica e delicati interessi, soprattutto nel mondo della Finanza.

Un sofisticato attacco informatico su larga scala

Gli investigatori del Cnaipic, il Centro nazionale anticrimine informatico della Polizia postale, hanno ricostruito il funzionamento dello schema di spionaggio posto in essere dai fratelli Occhionero. A far scattare le indagini è stata la segnalazione al Cnaipic di una mail – inviata ad un amministratore di rilievo di un’infrastruttura critica nazionale – che conteneva come allegato il malware Eyepyramid. Aprendo il file allegato le vittime del piano ordito dai due fratelli avrebbero avviato l’installazione del virus sul proprio computer. Una volta installato il malware avrebbe consentito agli hacker di accedere al computer infettato che sarebbe inoltre entrato a far parte della rete di computer infetti (botnet) gestita via remoto dai due come viene specificato dalla nota stampa della Polizia che rende noto che gli inquirenti «hanno acquisito concreti elementi probatori in merito ad attività criminali da loro pianificate e condotte, consistenti nella gestione di una botnet con finalità di cyber spionaggio in danno di Istituzioni e Pubbliche Amministrazioni, politici di spicco, studi professionali e soggetti di rilievo nazionale». Secondo gli investigatori – che a partire da quella mail hanno ricostruito il funzionamento di Eyepyramid e sono risaliti ai responsabili del cyberspionaggio si trattere di un attacco informatico del tipo APT (Advanced Persistent Threat) un particolare tipo di hack che mira a prendere il controllo del computer bersaglio, mappare il network dei computer connessi e stare sufficientemente nascosto per non essere rilevato. Successivamente l’hacker inizia a raccogliere le informazioni e a salvarle su un server in modo da poterci accedere in un secondo momento. Il malware inoltre provvede anche a “coprire le tracce” dell’intrusione in modo da poter essere utilizzato in modo continuativo sullo stesso pc. Ad esempio in tempi recenti secondo il Bureau il Governo russo ha utilizzato due attacchi APT per penetrare nei sistemi informatici di alcuni partiti politici statunitensi e prelevare informazioni riservate che poi sono state successivamente leakate ai mass media con l’intento di condizionare l’andamento delle presidenziali USA.

L’obiettivo dei due Occhionero era diverso, perché le informazioni riservate non sono state rese pubbliche e probabilmente – sospettano gli inquirenti –  venivano utilizzate per il perseguimento degli interessi finanziari dei due che erano in grado di monitorare quanto avveniva all’interno dei computer infetti e raccogliere le informazioni utili per la loro attività. Secondo la Postale i dati raccolti venivano poi salvati su server localizzati negli USA che sono stati sequestrati grazie all’intervento della Cyber Division del FBI. Tra i nomi dei personaggi politici intercettati grazie al malware ci sono Mario Draghi, Ignazio La Russa, Fabrizio Cicchito, Piero Fassino, Fabrizio Saccomanni, Daniele Capezzone, Michela Vittoria Brambilla l’ex capo di gabinetto del Tesoro Vincenzo Fortunato, l’ex presidente della Regione Campania Stefano Caldoro e anche monsignor Gianfranco Ravasi.

Leggi sull’argomento: Eyepyramid: i politici spiati con un malware