EyePyramid: cos’è successo e come hanno fatto (aggiornato)

In questi ultimi giorni si è sentito parlare molto dello scandalo relativo l’intrusione hacker da parte di un malware che sottraeva dati sensibili e top secret ad esponenti di rilievo sia governativi, militari, finanziari che privati. 
3010232030 57426d2899 b - EyePyramid: cos'è successo e come hanno fatto (aggiornato)
I due sospettati sono stati arrestati e sono venuti fuori alcuni dettagli operativi in merito all’accaduto. Il malware usato, com’è noto, si chiama EyePyramid ed ha raccolto qualcosa come 87 GB di dati oltre a 18.327 username e 1.793 password, tra cui account dell’ex presidente del consiglio Matteo Renzi. La procedura investigativa è iniziata dopo la ricezione di una mail sospetta da parte di un dirigente governativo, il quale ha fatto presente la cosa ai servizi di polizia i quali hanno così cominciato a prendere visione del problema.

Come hanno fatto

Si presume che la causa di questa operazione siano finanziaria, anche se sono implicati molti aspetti ancora da chiarire (come ad esempio, il collegamento con la massoneria di uno dei due interessati). Il metodo di infezione è stato tramite email di phishing creati ad hoc che contenevano un allegato, il quale se aperto installava il malware silenziosamente, cosa importante per spedire queste email di phishing venivano usati degli indirizzi email attendibili, proprio per dare sensazione di affidabilità. Questi allegati erano camuffati a regola d’arte e non erano rilevati dagli antivirus, cosa che quindi poteva dare una sorta di tranquillità all’utente. Una volta installato nel sistema si auto-copiava in un file con estensione EXE ed un nome a random, dopo di che cominciava la raccolta dei dati i quali erano file specifici, solitamente documenti di office, PDF e simili (oltre alla cronologia di internet e alle ricerche eseguite nei motori di ricerca) e li inviava, in forma criptata, in diversi serve C&C situati, sembra, in America, cosa che ha richiesto la collaborazione della Cyber-Division della FBI Americana. 

Approfondimenti

La questione è molto delicata, infatti anche Alessio Porcu ha redatto diversi articoli ove parla di collegamenti dei due sospettati con la massoneria:

Le spie di Renzi e Monti stavano in via Brighindi a Frosinone
Gelli Licio, residente in via Brighindi 44 a Frosinone 
L’ombra della massoneria che unisce Frosinone e cyberspie 

Su Repubblica c’è un interessante video che parla dei due interessati, in aggiunta il ricercatore Trend Micro Federico Maggi sta analizzando il malware, trovate dei spunti interessanti di livello tecnico a questo link:

The Eye of the Storm: A Look at EyePyramid, the Malware Supposedly Used in High-Profile Hacks in Italy – TrendLabs Security Intelligence Blog

Aggiornamento del 13 gennaio 2017:  Kaspersky ha pubblicato un articolo a riguardo, inoltre i prodotti di sicurezza della casa russa individuano e rimuovono l’infezione da EyePyramid con i seguenti nomi:

  • HEUR:Trojan.Win32.Generic
  • Trojan.Win32.AntiAV.choz
  • Trojan.Win32.AntiAV.ciok
  • Trojan.Win32.AntiAV.cisb
  • Trojan.Win32.AntiAV.ciyk
  • not-a-virus:HEUR:PSWTool.Win32.Generic
  • not-a-virus:PSWTool.Win32.NetPass.aku
(Visited 6 times, 1 visits today)