EyePyramid, come funziona il malware che ha spiato politici e istituzioni

eyepiramid-malware-spiare

Il sistema usato dall’ingegnere nucleare di anni 45 e la sorella di anni 49, entrambi residenti a Londra ma domiciliati a Roma è una ‘botnet’, ovvero una vasta rete di computer, creata infettando i dispositivi con il malware EyePyramid.

Secondo alcuni esperti di sicurezza informatica, Eye Pyramid è un malware vecchio (risale al 2008) e non molto conosciuto, già usato in attacchi informatici mirati, che necessita di un aggiornamento tecnologico per poter operare negli anni. È’ di tipo ‘Rat’ (Remote access tool) cioè consente una volta installato il pieno controllo da remoto del dispositivo infettato, non solo spiare dati ma anche fare screenshot. Si avvale di una rete di computer – o botnet – che viene infettata col malware stesso e che ha consentito agli hacker di acquisire in maniera silenziosa le informazioni per poi riversarle all’interno di server localizzati negli Stati Uniti.

Un altro modo per la rete di cyberspionaggio di passare inosservata, poiché gli Usa sono uno dei paesi con più hosting in tutto il mondo. A svelare l’esistenza del malware e causare una sorta di effetto domino che ha portato ai due arresti è stata proprio una delle procedure che hanno portato alla diffusione del virus all’interno dei computer colpiti da Eye Pyramid: una mail indirizzata al responsabile di una importante infrastruttura nazionale, l’Enav, contenente appunto il malware.

“Quanto successo – ha commentato Gastone Nencini, Country Manager Trend Micro Italia – è la dimostrazione che i dati sono l’obiettivo principale di qualsiasi tipologia di cybercriminale e che sistemi di difesa non adeguati possono portare alla compromissione dei dati stessi. Un approccio multilivello che non sfrutti la correlazione delle informazioni può portare a queste situazioni di crisi, occorre un approccio olistico che non si limiti solo al prodotto ma a un processo di gestione completo delle informazioni relative alle singole minacce con sistemi in grado di poter operare con tecnologie differenti contemporaneamente riducono il rischio di compromissione”.

La mail, ricevuta dal funzionario il 26 gennaio 2016, aveva come mittente uno studio legale con cui il dirigente non aveva mai avuto relazioni. Dopo un’analisi tecnica da parte di una società esterna, la mail è stata segnalata al Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale. L’analisi ha riscontrato che alla mail era allegato un file contenente un malware diffuso in altre campagne di ‘spear phishing’, un tipo di phishing più sofisticato realizzato ‘ad hoc’ per particolari individui o società. Partendo dall’allegato malevolo è stato individuato il server di riferimento per il malware Eye Pyramid sul quale erano memorizzati i file relativi alla configurazione delle macchine compromesse, cioè la botnet occulta. (ANSA)

You may also like...