Come è nata l’indagine? Che piste ha seguito? Come nasce il malware? Come lo stanno inseguendo anche ora i ricercatori? Ecco quello che abbiamo ricostruito

EyePyramid è il nome che è stato dato a un software malevolo usato per infettare e spiare una serie di target di alto profilo. È anche il nome dell’inchiesta, condotta dal pm Eugenio Albamonte, che l’altro ieri ha portato in carcere i fratelli Giulio e Francesca Maria Occhionero, accusati dagli inquirenti di essere dietro una vasta operazione di cyberspionaggio, che avrebbe colpito anche professionisti e politici di primo piano. Ieri gli indagati hanno respinto ogni addebito, dicendo di essere stati a loro volta vittima di attacchi informatici. Ma cosa sappiamo di EyePyramid? Abbiamo ricostruito alcuni dei punti principali, e come – sia gli inquirenti sia una crescente fetta di ricercatori – si siano mossi o si stiano muovendo dietro le sue tracce.

Nascita di un’inchiesta

I primi a imbattersi nel malware sono gli analisti della società italiana di cybersicurezza Mentat Solutions, a partire da alcune mail malevole indirizzate a Eni. Siamo a fine 2014, diversi mesi prima della nascita dell’inchiesta, che sembra avviarsi però solo nel marzo 2016 dopo la segnalazione di Francesco Di Maio, dirigente della funzione security di Enav – società nazionale per l’assistenza al volo - che due mesi prima avrebbe individuato una mail sospetta inviata all’ente per cui lavora. Questa mail arriverebbe dallo studio legale del prof Ernesto Stajano (che risulterà poi esserne vittima). Di Maio segnala la mail al Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche, unità specializzata della Postale nata nel 2008, con cui Enav è convenzionata. Contattati da La Stampa, sia Di Maio che Federico Ramondino, titolare di Mentat Solutions, hanno preferito non rilasciare commenti, ma è certamente dalle loro mosse che si inizia a prendere consapevolezza del malware, incredibilmente passato inosservato per anni, malgrado target e vittime eccellenti.

L’infezione via mail

Lo studio Stajano – si capirà poi - in realtà sarà solo uno di una quindicina di studi legali e attività professionali colpiti e compromessi dal malware EyePyramid. Questo perché tra le informazioni raccolte dal software, una volta infettato il pc di un target, c’erano, oltre a password e contenuti delle mail, anche i contatti di un account. Ad alcuni di questi indirizzi venivano poi inviate nuove mail dalle caselle già compromesse, in modo da rendere più credibile il messaggio con l’allegato malevolo. Ma l’attacco non avveniva sempre in modo così mirato e preciso. E a volte gli indirizzi usati odoravano di spam.

Come sono risaliti agli indagati

Sono due i fili tirati dagli investigatori che hanno portato agli indagati. Entrambi nascono soprattutto dallo studio del codice del malware. Infatti, dall’analisi dell’allegato malevolo, Mentat Solutions risale a uno dei server di comando e controllo attraverso il quale gli attaccanti gestivano delle macchine infettate (1133), e dove c’erano anche i file di configurazione delle stesse macchine, oltre che documenti esfiltrati, cioè sottratti ai target. Una parte dei documenti e dei dati dalle vittime, una volta estratti, passavano da un servizio mail (sul dominio Gmx.com) per poi essere rimbalzati su un altro account mail del dominio Hostpenta.com. Questo dominio – come anche Enasrl.com, collegato a Hostpenta - è presente nel codice del malware, sottolineano gli investigatori. Seguendo queste tracce dunque gli investigatori noteranno che Hostpenta è collegato a sua volta ad altri domini, che certo non passano inosservati: si chiamano Eyepyramid, Occhionero e Westland. E sono riconducibili a Giulio Occhionero, scrivono gli inquirenti.

L’identificativo lasciato nel codice

E veniamo al secondo filo. Nel codice infatti si trova anche un altro elemento interessante, un vero e proprio identificativo. EyePyramid incorpora una certa libreria software (MailBee), cioè un’insieme di funzioni predeterminate, che nello specifico l’attaccante usa per sottrarre i file tramite la posta elettronica. Si tratta di un software del tutto legale, commerciale, venduto dalla società americana Afterlogic. E come spiega lo stesso sito della società, quando si compra una licenza per questa libreria o una sua parte, si riceve una chiave permanente che permette di usare quei componenti per un periodo illimitato. E che di fatto va incorporata nel codice. Ora, chi inizia a indagare si accorge che dal maggio 2010 al dicembre 2015 EyePyramid contiene questa chiave di licenza, sempre la stessa, con un univoco codice identificativo. Per gli investigatori l’acquirente della licenza Mailbee corrisponde dunque a chi ha gestito e aggiornato il malware, almeno in quella finestra temporale. E tramite l’Fbi, gli investigatori avrebbero infine accertato che fu acquistata da Giulio Occhionero. La licenza è cambiata nel 2015 dopo che Mentat Solutions, che già aveva iniziato a stare sulle tracce del malware, ha domandato ad Afterlogic informazioni su quella chiave. La società americana “ha ritenuto di dover notiziare al riguardo al proprio cliente”, scrivono gli inquirenti. E questo probabilmente ha indotto un cambio di licenza.

Chi di trojan ferisce

Una volta individuato un sospettato, l’indagine ha aggiunto intercettazioni telefoniche, telematiche e anche, lo scorso ottobre, intercettazioni tramite captatore informatico, o agente intrusore. Insomma, sul pc dell’indagato è stato piazzato un trojan, esattamente come si ipotizza che facesse lui con le vittime. Analizzando il suo traffico internet in tutti questi modi, gli investigatori hanno visto che l’indagato si collegava a due server, uno in Minnesota e uno in Utah, ai cui indirizzi IP erano associati i domini che abbiamo visto in precedenza, collegati a Hostpenta, quello utilizzato dal malware. E sempre guardando i file che l’indagato sincronizzava dal server sul proprio pc, hanno trovato una serie di informazioni, come la cartella contenente una tabella con nomi, mail, domini web e password di vittime.

I dati esfiltrati

In questi dati ci sono dunque i 18mila username già citati in questi giorni, che sarebbero persone attenzionate dagli indagati, cioè oggetto di tentativi di infezione, riusciti o meno, inclusi account di domini istituzionali come Interno.it, Camera.it, Senato.it ecc. Gli username corredati effettivamente da password sono 1793. Molti gli account di cui non si è trovata traccia di password. Sono presenti un account Apple di Matteo Renzi e un account mail istituzionale di Mario Draghi. Come abbiamo già detto in un precedente articolo, la tabella in cui sono segnati riporta solo due date per ognuno (tra lo scorso giugno e luglio) che sembrano corrispondere a due tentativi di infezione attraverso l’invio di una mail. Ma le carte dell’inchiesta non dicono né che siano state rinvenute le corrispettive password né che le infezioni siano andate a buon fine. Tra l’altro gli account mail usati per inviare il malware sono abbastanza generici, e potrebbero facilmente odorare di spam.

Emersi solo alcuni dati

Cosa altro hanno trovato gli inquirenti analizzando il traffico dell’indagato mentre avrebbe mosso documenti dal cloud al suo pc? Un file contenente le credenziali di accesso a vari account email; file di testo con quanto carpito dal keylogger, cioè da una funzione del malware che registra quanto digitato dalla vittima, come indirizzi internet scritti nel browser, password, testi; elenchi dei contatti mail della vittima. A questo punto va detta una cosa: gli inquirenti parlano di una enorme mole di dati e specificano che quanto hanno ricavato finora deriverebbe soprattutto dall’analisi del traffico dell’indagato, dai file prelevati dai server e scaricati sul suo pc. Dunque si tratterebbe di una minima parte di quanto effettivamente presente o accumulato negli anni. “Le informazioni che abbiamo finora sono certamente frammentarie e incomplete”, commenta al riguardo Corrado Giustozzi, esperto di sicurezza informatica per una delle strutture che si occupano del tema nella pubblica amministrazione, il Cert-Pa.

Ad ora sarebbero state sicuramente identificate 100 macchine compromesse, sparse tra una quindicina di studi legali e professionali, due società di recupero crediti, alcuni pc in enti locali (come la Regione Lazio), collaboratori del Cardinal Ravasi e un albergo del vicariato, tre società costruzioni, tre gruppi nella sanità, altre due aziende. Più una serie di politici e imprenditori. Il gruppo politici e business rinvenuto conterrebbe 674 account di cui 29 con password. Tra quelli di cui si dice esplicitamente che sarebbero presenti le password degli account email ci sarebbero, tra gli altri, Maurizio Scelli, Sergio De Gregorio, Stefano Caldoro, e funzionari o ex funzionari pubblici.

L’origine del malware

Gli inquirenti hanno trovate vittime infettate tra il marzo 2014 e l’agosto 2016. Tuttavia, dicono, ci sono cartelle create già nel 2012. Dunque quello ricevuto da Enav sarebbe la versione più recente di un malware usato da anni, addirittura dal 2008, specificano a un certo punto gli inquirenti, anche se non è chiaro come e perché si arrivi fino a questa data. E, sempre per gli investigatori, esisterebbe pure una versione del malware del 2010 che inviava i dati carpiti alle vittime a uno specifico indirizzo email, purge626@gmail.com, già saltato fuori nell’inchiesta sulla cosiddetta P4. “EyePyramid non è un malware sofisticatissimo ma tiene un basso profilo, per cui tende a passare inosservato, un po’ come i ransomware”, commenta ancora Giustozzi. “Probabilmente fatto in Italia. Ma l’operazione denota più bravura nell’ingegneria sociale, che nel software. Un lavoro a tempo pieno, di un ragno che tesse pazientemente la tela, cercando di far leva sulla fiducia o l’inesperienza delle persone”.

Gli analisti sulle sue tracce

Alla luce di tutto ciò assume particolare rilevanza il lavoro che in questi giorni, dopo l’uscita della notizia, stanno facendo vari ricercatori di sicurezza, impegnati a tracciare nel tempo le diverse versioni di EyePyramid (che, nelle versioni analizzate finora, colpirebbe Windows) e a studiarne il codice. I primi a twittare di aver trovato alcuni campioni del malware sono stati gli analisti della società di cybersicurezza ReaQta, che hanno trovato delle somiglianze nel codice con un vecchio worm, MSIL. Cribz. Un vecchio malware che inviava sue copie via allegato ai contatti mail in rubrica. “Abbiamo individuato 5 campioni funzionanti di quello che sembra essere EyePyramid, il più vecchio del 2012, il più recente nel 2015, attraverso una analisi su fonti aperte, a partire dai domini registrati e gli IP usati”, commenta a La Stampa Alberto Pelliccione, Ceo di ReaQta. “Gran parte del codice serve ad acquisire mail, che è il principale canale di esfiltrazione, con configurazioni per i principali Isp (fornitori di servizi internet) italiani. Di sicuro c’è tanto codice dietro, tanto lavoro per una singola persona, o comunque un lavoro che ha richiesto tempo”.

Anche i ricercatori di TrendMicro si sono buttati subito sull’analisi di EyePyramid. E notano come, sebbene il codice alla base sia abbastanza grezzo, sia stato poi pesantemente offuscato, cioè reso difficile da analizzare. “Allo stato attuale non si può dire che ci sia un solo autore che ha fatto tutto, ma semmai che un autore lo ha modificato più volte”, commenta a La Stampa Federico Maggi, ricercatore di TrendMicro. “Nelle versioni più vecchie ci sono meno domini target, in quelle più recenti più domini”. Insomma, un virus cresciuto, aggiustato e arricchito nel tempo.

Attenzione però a dargli l’etichetta di APT, che sta per advanced persistent threat, minaccia persistente avanzata. Cioè ad indicarlo come una campagna di attacco di alto livello, sofisticata, come quelle condotte da soggetti statali o sponsorizzati da Stati (tipo gli hacker russi di Fancy Bear o Apt 28 per intenderci). Non chiamatelo Apt, twittava ieri un noto ricercatore di sicurezza, Pasquale Stirparo. “Colpisce via email, compromettendo soprattutto account privati o istituzionali, ma già aziende che avevano sistemi più completi di difesa lo individuavano”, commenta Stirparo alla Stampa. “Non è avanzato insomma e si basa su un vecchio malware. Non usa una infrastruttura avanzata. Chi lo gestiva ha commesso errori eclatanti”.

Degli errori scrive, sul suo blog, anche un altro noto ricercatore di sicurezza, Alessandro Tanasi. Alcuni li abbiamo già citati, come mettere nel codice il seriale identificativo della licenza comprata da lui stesso. Ma anche usare, nell’infrastruttura messa in piedi per ricevere i dati, dei domini registrati col suo vero nome, per quanto utilizzasse un servizio a pagamento che oscura i dati del registrante (i servizi di whois-privacy). Servizi che però se c’è un procedimento giudiziario, possono dare i dati, specie se stanno negli Usa. I gruppi cybercriminali spesso usano sistemi ben più avanzati per nascondersi, e prevedono tra le altre cose algoritmi che generano in continuazione domini diversi, i quali vivono anche solo per poche ore.

Dunque ricapitolando: la base software non molto avanzata, forse presa da altri o comprata chissà dove, poi rielaborata progressivamente, personalizzata e ingrandita, con alcuni errori grossolani nella visione d’insieme. Ma anche un malware che nelle sue varie versioni passa incolume negli anni, facendo vittime importanti. Dietro, un lavoro - più che sofisticato - metodico e certosino. Sono sempre le stesse persone ad averlo usato? Ce ne sono altre? È l’avventura megalomane e bislacca di uno o più individui? O un progetto più articolato? Gli inquirenti – come già detto - hanno ipotizzato un collegamento con l’inchiesta sulla cosiddetta P4, ma certo restano ancora molti gli interrogativi da chiarire. Per ora si seguono tutte le tracce. Come ha fatto ieri un altro ricercatore, Gianfranco Tonello, che ha dichiarato di aver trovato una versione di EyePyramid, forse del 2010, al cui interno sarebbe presente l’account mail purge626@gmail.com, già citato e presente nell’ordinanza. Ma anche un altro account mail, tim11235@gmail.com, sbucato anche questo ai tempi dell’inchiesta P4. E mentre stiamo scrivendo Costin Raiu, ricercatore di punta della società Kaspersky, ha twittato di aver trovato 44 campioni di EyePyramid compilati solo fra 2014 e 2015. L’80 per cento delle vittime stava in Italia. Ma ce ne sarebbero alcune anche negli Emirati Arabi Uniti, in Germania, in Romania e altrove. Un anno di grande attività quindi per chi lo gestiva.