sabato 11 marzo 2017

Il Malware Di Spionaggio EyePyramid Che Spiava I Politici Italiani

EyePyramid è il nome di un Malware leggermente modificato (la versione di base risale al 2008).
Si tratta di un RAT (Remote Access Tool), cioè una volta infettata la macchina è possibile non solo il controllo da remoto ma anche svolgere azioni di spionaggio (screen, registrazioni audio, etc).
La cosa che ha fatto discutere del Malware è il target: non l'utente medio del web ma i politici.
Dietro ci sarebbero i fratelli Giulio e Francesca Maria Occhionero, accusati dagli inquirenti di essere dietro una vasta operazione di cyberspionaggio, che avrebbe colpito professionisti e politici di primo piano.
I due sono stati arrestati dalla polizia postale per intercettazioni ed accesso abusivo a sistemi informatici,
Tra le informazioni raccolte dal software, una volta infettato il PC di un target, c’erano, oltre a password e contenuti delle mail, anche i contatti del dato account (oltre 18mila account colpiti).
Ad alcuni di questi indirizzi venivano poi inviate nuove mail dalle caselle già compromesse, in modo da rendere più credibile il messaggio con l’allegato malevolo.
La gestione del Malware avveniva tramite una Botnet che permetteva di comandare e controllare le macchine infettate (poco più di un migliaio).
I dati erano dirottati su server siti negli USA.
Una parte dei documenti e dei dati dalle vittime, una volta estratti, passavano da un servizio mail (sul dominio Gmx.com) per poi essere rimbalzati su un altro account mail del dominio Hostpenta.com (collegato ad altri domini quali Eyepyramid, Occhionero e Westland).
Domini istituzionali colpiti sono Interno.it, Camera.it, Senato.it
Gli username corredati da password sono 1793.
Colpiti anche l'account Apple di Matteo Renzi e un account mail istituzionale di Mario Draghi.
Sarebbero state identificate più di 100 macchine compromesse.
Nella lista degli spiati ci sono anche i nomi di Piero Fassino, Daniele Capezzone, Ignazio La Russa e Vincenzo Scotti, Alfonso Papa, Walter Ferrara, Paolo Bonaiuti, Michela Brambilla, Luca Sbardella, Fabrizio Cicchitto, Vincenzo Fortunato, Mario Canzio, il cardinale Gianfranco Ravasi, Paolo Poletti della Gdf.


A VOLTE RITORNANO
Gli inquirenti hanno trovate vittime infettate tra il marzo 2014 e l’agosto 2016 (anche se il Malware è in giro da ben più tempo: secondo gli investigatori, esisterebbe una versione del Malware dal 2010 che inviava i dati carpiti alle vittime a uno specifico indirizzo email, purge626@gmail.com).
Si tratta quindi di un Malware non sofisticato ed ormai superato anche se abbastanza flessibile per riuscire a carpire dati dal computer su cui è installato.
Non si tratta di un PDF o una immagine o altri tipi di attacchi sofisticati, ma un semplice file .exe che la maggior parte dei client di posta si rifiuta pure di scaricare ormai per problemi di sicurezza.

Il tipo di email che veniva inviata dai server (tramite TOR) era il seguente:

From: Michelangelo Giorgianni
Subject: R: Re: CONVOCAZIONE]
Time: 2014/01/28 17:28:56]
Attachment: Note.zip//sistemi.pdf (…) .exe

I file eseguibili erano mascherati aggiungendo diverse estensioni al file o underscore per far credere che si trattava di zip o di pdf, anche restavano semplici eseguibili.
In qualche caso l’eseguibile, per passare l’antivirus dei client di posta, era addirittura inserito in un file zip.

Ecco alcuni dei geniali nomi dei file usati per far cadere in trappola chi riceveva la mail:
Nuoveassunzioni.7z
Assunzione.7z
Segnalazioni.doc (…) 7z.exe
Regione.7z
Energy.7z
Risparmio.7z
Pagati.7z
Final Eight 2012 Suggerimenti Uso Auricolari.exe
Fwd Re olio di colza aggiornamento prezzo.exe
Quotidiano.mdb (…) _7z.exe
Notifica operazioni in sospeso.exe

Dimensioni da 1 MB a 2 MB di eseguibile.
L’analisi della diffusione, in base ai log delle suite di security installate in tutto il mondo, lascia intendere poi un sistema totalmente casuale centrato sull’Italia: tracce del programma sono arrivate fino in Vietnam, segno che il sistema era totalmente autonomo, prendeva la rubriche e si moltiplicava senza una logica ben precisa.

Usati attualmente per raccogliere le informazioni riservate:
gpool@hostpenta[.]com
hanger@hostpenta[.]com
hostpenta@hostpenta[.]com
ulpi715@gmx[.]com — incerto

Usati nel 2010 allo stesso scopo:
purge626@gmail[.]com
tip848@gmail[.]com
dude626@gmail[.]com
octo424@gmail[.]com

Usati come mittenti delle mail di spear-phishing:
antoniaf@poste[.]it
mmarcucci@virgilio[.]it
i.julia@blu[.]it
g.simeoni@inwind[.]it
g.latagliata@live[.]com
rita.p@blu[.]it
b.gaetani@live[.]com
gpierpaolo@tin[.]it
e.barbara@poste[.]it
stoccod@libero[.]it
g.capezzone@virgilio[.]it
baldarim@blu[.]it
?.elsajuliette@blu[.]it
dipriamoj@alice[.]it
izabelle.d@blu[.]it
u_1974@hotmail[.]com

Host (C&C):
eyepyramid[.]com
hostpenta[.]com
ayexisfitness[.]com
enasrl[.]com
eurecoove[.]com
marashen[.]com
millertaylor[.]com
occhionero[.]com
occhionero[.]info
wallserv[.]com
westlands[.]com

In definitiva si può affermare che il Malware non sia di certo evoluto o particolarmente complesso ma colpendo sistemi istituzionali ed uffici regionali ha avuto vita facile, visto che spesso queste macchine utilizzano sistemi operativi vecchi o comunque non aggiornati.

Nessun commento:

Posta un commento