EyePyramid: malware spensierato

La storia di due principianti che sono stati in grado di spiare gli ufficiali italiani per anni senza essere presi.

Quando parliamo di malware sul blog Kasperky Daily (e lo facciamo abbastanza spesso) scegliamo in genere tipi di malware che, stando ai nostri dati, hanno già compromesso tanta gente. CryptXXX, TeslaCrypt e altri malware che hanno attaccato milioni di persone nel mondo sono solo qualche esempio. I malware rilevati solo poche volte non meritano in genere molta attenzione. Come ben saprete  ci sono tanti malware là fuori (e non possiamo dedicare un post del blog ad ognuno di essi).

Ma questa è l’eccezione che conferma la regola. Oggi parleremo di un malware chiamato EyePyramid. No, non l’abbiamo chiamato noi così, l’hanno fatto i suoi creatori. E il motivo per cui parleremo di EyePyramid è che questo malware si distingue dalla massa e la sua storia sembra essere quasi una favola. È la storia di un piccolo uomo che ottiene grandi risultati (e alla fine fallisce).

Spionaggio di una famiglia italiana

Iniziamo dal fatto che EyePyramid era principalmente un’impresa di famiglia. Il malware in sé era stato creato da un quarantacinquenne italiano, Giulio Occhionero, laureato in ingegneria nucleare. Lui e la sorella, Francesca Maria Occhionero, 48 anni, diffondevano il malware. Hanno lavorato insieme in una piccola società chiamata Westland Investment.

Secondo un verbale della polizia italiana pubblicato recentemente, EyePyramid è stato diffuso tramite spear phishing e ha attaccato molti membri del governo italiano insieme a massonerie, studi legali, servizi di consulenza, università e anche i cardinali del Vaticano.

Perché mai tutto questo? Una volta installato, il malware dava accesso ai suoi creatori a tutte le risorse dei computer delle vittime. Veniva utilizzato con l’unico scopo di raccogliere informazioni che, stando all’SC Magazine, venivano poi usate a loro volta per fare investimenti più redditizi. Utilizzavano il malware come uno strumento di analisi. Personalmente non riesco a trovare la connessione tra gli investimenti e i cardinali, ma sembra che i criminali siano riusciti a farlo.

Le posizioni di rilievo delle vittime e anche il fatto che la polizia italiana non fornisse dettagli su EyePyramid, eccetto l’indirizzo dei server command-and-control e alcune delle mail utilizzate, hanno attirato l’attenzione dei nostri esperti di GReAT. Per questo motivo hanno deciso di fare delle indagini per conto loro.

Cybercrimine inesperto

Alcuni media insistono sul fatto che EyePyramid sia complesso e sofisticato. Non lo è. Al contrario, è un malware abbastanza semplice

Utilizzando le informazioni del verbale della polizia, i nostri analisti sono stati in grado di trovare 44 diversi tipi di EyePyramid e questo ci ha fatto capire molte cose sulla faccenda. Alcuni media insistono sul fatto che EyePyramid sia complesso e sofisticato. Non lo è. Al contrario, è abbastanza semplice. La coppia di cybercriminali ha impiegato metodi come l’utilizzo di diversi spazi per mascherare l’estensione dei file eseguibili che contenevano il malware. Questo trucchetto sembra semplice ma ha funzionato.

Sembra anche che gli Occhionero abbiano avviato la parte criminale della loro attività molto tempo fa (i modelli più vecchi che siamo riusciti a trovare risalivano al 2010). Gli ufficiali italiani dicono che la coppia potrebbe essere attiva dal 2008.

Essendo entrambi principianti nel settore del cybercrimine, non sono riusciti a mantenere una buona sicurezza operativa. Infatti, non si preoccupavano affatto della sicurezza: parlavano delle proprie vittime per telefono (e si sa che le telefonate possono essere intercettate facilmente dalle forze dell’ordine) e tramite WhatsApp (che prima di quest’anno non utilizzava la crittografia end-to-end) e lasciavano tracce degli indirizzi IP associati alla loro azienda.

Tuttavia, secondo le stime della polizia italiana, i due hanno operato almeno per tre anni e forse anche per più di otto anni, prendendo di mira 16.000 vittime e riuscendo ad avere accesso ai computer delle vittime più di 100 volte. La coppia è riuscita ad ottenere tante informazioni (decine di gigabytes di dati che li hanno aiutati a migliorare i loro investimenti.

La fine di una favola

Questa è la conferma perfetta della teoria che investire nel settore dell’istruzione (in questo caso nel conoscere la sicurezza operativa) paga. Il 10 gennaio sia Giulio che Francesca Maria Occhionero sono stati arrestati dall’FBI, quindi adesso la festa del malware inesperto è finita.

La loro lunga corsa potrebbe sembrare sorprendente ma forse il loro segreto sta nella semplicità del malware. Sembrava essere troppo noioso fare indagini in maniera approfondita e Kaspersky Security Network ha rilevato solo 92 tentativi di infezione. Tutto questo sarebbe solo una goccia d’acqua nell’oceano se si paragona al numero di tentativi di infezioni con il famoso ransomware. Ad ogni modo i criminali sono in prigione e il mondo continua a girare.

Consigli