Le cyberspie di politici ed istituzioni hanno gabbato per mesi i sistemi di sicurezza governativi tramite il malware EyePyramid. Come è potuto succedere? Scopriamolo insieme!
Avrete sicuramente sentito parlare nelle ultime ore di EyePyramid, il malware scritto interamente da un ingegnere nucleare italiano che, insieme a sua sorella, è riuscito a spiare politici e istituzioni, ci spieghiamo cos’è e come funziona!
È stata diffusa ieri la notizia che riportava l’arresto di un ingegnere nucleare italiano di 45 anni e di sua sorella di 49, entrambi molto noti negli ambienti dell’alta finanza capitolina. I due sono stati arrestati con l’accusa di procacciamento di notizie concernenti la sicurezza dello Stato italiano, di accesso abusivo aggravato a sistema informatico ed intercettazione illecita di comunicazioni telematiche. Ma, in sostanza, cosa facevano i due? Dalla loro residenza a Londra i due usavano una cosiddetta ‘botnet’, ossia una rete di computer molto ampia che avevano creato infettando i dispositivi con il malware noto con il nome di EyePyramid.
EyePyramid in realtà è un malware scritto nel 2008 e che era già in circolo dall’epoca, non era molto conosciuto ma era già stato utilizzato per attacchi informatici mirati. Il malware è di tipo Remote Access Control, che, come avrete già potuto intuire, permetteva, una volta installato nel computer ospite, permetteva il controllo completo della postazione da remoto permettendo così all’ingegnere di avere accesso completo a tutti i file, le mail e tutti i dati sul quel dato computer. Il malware, attraverso la botnet, si installava in maniera silenziosa su tutti i PC desiderati e inviava, sempre di nascosto, tutti i dati ad alcuni server localizzati negli Stati Uniti, scelta non casuale, in quanto, essendo gli USA il Paese con più server di hosting nel mondo, localizzare con precisione i server sarebbe stato molto più difficoltoso.
Ma come è riuscita la polizia a risalire ai due colpevoli? A svelare l’esistenza del malware è stata, nemmeno a dirlo, una delle procedure con le quali lo stesso veniva diffuso, ossia una mail indirizzata ad un alto dirigente dell’Enav, Ente nazionale per l’assistenza al volo. La mail, inviata e ricevuta il 26 gennaio dello scorso anno, portava come mittente uno studio legale sconosciuto al dirigente, il quale, insospettitosi, aveva richiesto un’analisi tecnica della mail da parte di una società terza. Il Cnaipic, Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche, una divisione della Polizia Postale, dopo aver ricevuto la segnalazione ha riscontrato un tentativo di phishing molto sofisticato e realizzato ad hoc per questo o quell’individuo. L’allegato malevolo è stato analizzato ed ha rimandato al malware EyePyramid che a sua volta ha rimandato al server di storage che ha permesso poi alla Polizia Postale di rivelare la BotNet.
Da qui a risalire ai cybercriminali il passo è stato breve, dunque a seguito di indagini molto accurate sono stati localizzati i colpevoli e assicurati alla giustizia.
