Gli attacchi informatici non sono mai temi semplici da trattare. Quando poi si tratta di campagne di un certo spessore, come quella chiamata Eye Pyramid che ha coinvolto le nostre infrastrutture critiche, è ovvio che le cose si complichino sempre un po'.
Nella fattispecie, nel nostro primo articolo davamo la notizia così come era stata battuta dalle agenzie, con qualche imprecisione, a volte importante.
Con il passare del tempo, però, degli esperti hanno potuto mettere mano ai pochi dati disponibili e fare il punto della situazione.
Uno di questi è Federico Maggi, ricercatore di Trend Micro, che ha concesso una intervista al nostro sito "cugino" specializzato in sicurezza Security Info.
In questa sua intervista basata su di un report che lui stesso ha pubblicato su Git-Hub, Federico Maggi specifica il modus operandi della campagna, rivelando le diverse fasi che l'hanno contraddistinta.
In primo luogo, Giulio e Francesca Maria Occhionero avrebbero infettato con un trojan i computer di diversi studi legali, iniettando poi un RAT (un programma di controllo remoto) in modo da poterli usare a proprio piacimento.
Questi computer sono stati usati come cavallo di Troia per gli attacchi ai veri bersagli, ovvero infrastrutture critiche (nell'elenco figurano l'ENAV, la Banca d'Italia, il Senato, Acea, Finmeccanica e altre) o personaggi di spicco come politici e altre importanti cariche delle istituzioni pubbliche e private.
Delle email contenenti allegati infetti, infatti, venivano inviati da indirizzi di posta molto attendibili e gli ignari destinatari li aprivano in quanto spesso mascherati, probabilmente, da file PDF.
Va detto che grazie a una serie di tecniche di offuscamento, gli antivirus non erano in grado di identificare i file inviati come malevoli e quindi il tasso di infezione è stato altissimo, ma non così tanto quanto riportato dalle fonti inizialmente.
Un errore nella pubblicazione dell'Ordinanza di Custodia Cautelare emessa dal giudice, infatti, aveva causato l'omissione della pagina 14, dove veniva specificato che le password ottenute dai due sospettati fossero solo 29 a fronte dei 674 account di politici presi di mira.
Una volta installato nelle macchine dei bersagli finali, EyePyramid andava a caccia di file di un determinato tipo (documenti di office, pdf e altro), per poi inviarli all'esterno tramite dei servizi di file sharing o con un invio diretto tramite posta elettronica a indirizzi civetta.
Lo stesso modulo andava anche a copiare tutto il contenuto della cronologia di Internet e delle ricerche fatte sui motori di ricerca, senza tralasciare di rastrellare le password immagazzinate nei browser.
Se volete saperne di più, potete consultare i due articoli dedicati a questa vicenda apparsi su SecurityInfo. Il primo articolo, parla della rimozione del capo della Polizia Postale a causa di questa indagine, mentre il secondo è dedicato a un approfondimento su come ha funzionato la campagna, con un interessante Podcast in cui Federico Maggi ci spiega meglio il suo punto di vista sulla scoperta.