Che cos'è EyePyramid, il malware della "banda" Occhionero

Ricordate, poco prima delle elezioni presidenziali americane, quando qualunque outlet mediatico statunitense aveva fatto proprio il luccicante prefisso "cyber" per parlare più o meno di qualunque cosa? Finalmente è arrivato quel momento anche per l'Italia—Non siete emozionati?

Pochi giorni fa Francesca Maria e Giulio Occhionero sono stati arrestati dalla Polizia Postale di Roma nell'ambito di un'indagine portata avanti dal CNAIPIC, il Centro nazionale anticrimine informatico della Polizia Postale, in collaborazione con l'FBI, con l'accusa di "acquisizione indebita di informazioni, atti, documenti, anche di natura riservata e pertinenti alla sicurezza pubblica", e per "accesso abusivo" ad una casella di posta elettronica da cui poi è partita l'indagine. Allo stato attuale, come si apprende dall'ordinanza di custodia cautelare, fra i computer compromessi risultano quelli di alcuni studi legali ed altri enti e società non rilevanti per la sicurezza nazionale e di alcuni membri della massoneria italiana (sì, davvero).

Al momento dell'arresto, purtroppo, i due Occhionero non hanno utilizzato acqua e candeggina per distruggere i computer, come invece aveva fatto Raffaele Pizza, il faccendiere dell'inchiesta 'Labirinto' che cercava di monitorare le procure italiane con un software, bensì—come si evince dall'ordinanza di custodia cautelare del GIP di Roma—durante le perquisizioni preliminari Francesca Maria Occhionero, alla richiesta di fornire la password di accesso per sbloccare la schermata di login del computer portatile, "ha digitato più volte una password errata, causando il blocco definitivo della smart card". Il fratello Giulio, invece, ha preferito utilizzare un software di cifratura (Bitlocker) incluso nel sistema operativo Windows, in modo da rendere impossibile l'accesso ai dati contenuti nel suo PC.

2- Polizia di Stato10 gennaio 2017

Nei giorni scorsi, i maggiori media nazionali hanno fatto un po' di confusione riguardo gli obiettivi colpiti da questo malware. Sono circolate notizie riguardo lo spionaggio degli account di Mario Draghi, Matteo Renzi, e Mario Monti, notizie che sono state successivamente smentite dopo la segnalazione di Paolo Attivissimo sul suo blog. Questo siparietto di conferme e successive smentite ricade perfettamente nella discussione sulle fake news ed il compito del giornalismo. Inoltre, in questa vicenda già di per sé complicata, il capo della polizia, Franco Gabrielli, ha deciso di rimuovere il direttore della polizia postale Roberto Di Legami dal suo incarico.

Vista la confusione intorno alla vicenda, è necessario fare chiarezza su questa storia di cyberspionaggio che rischia di segnare lo scenario politico e legislativo dell'Italia nei prossimi anni.

LA "BANDA" OCCHIONERO
Come riportato dalle loro pagine LinkedIn, Francesca e Giulio sono entrambi co-fondatori dell'azienda Westlands Securities—Ricordiamocelo, perché questo nome ha giocato un ruolo importante nel corso delle indagini, come vedremo più avanti.

Francesca Maria ha conseguito un Dottorato di Ricerca in Scienze Chimiche presso l'Università La Sapienza di Roma, per poi ricoprire, cito dalla sua biografia Linkedin, "da circa quindici anni […] ruoli direzionali all'interno di diverse società e in consigli di amministrazione".

Giulio, invece, ha conseguito il Master in Ingegneria Nucleare presso La Sapienza per poi spostare la sua attenzione nell'investment banking e nei modelli finanziari. Come afferma lui stesso in un suo vecchio Curriculum Vitae disponibile online, dal Marzo 2001, per due anni, ha presieduto come unico membro esterno "nel comitato investimenti del Monte dei Paschi di Siena, Private Banking, in qualità di advisor nella selezione dei portafogli di investimento"—purtroppo al momento non è possibile verificare la veridicità di tale affermazione. .

La Westlands Securities, nata per fornire consulenze finanziarie ad istituzioni bancarie, è entrata poi nei settori del real estate e del private equity, ed ha fornito inoltre consulenza al governo americano per la valutazione di un progetto riguardo delle infrastrutture nel porto di Taranto—anche questo particolare tornerà utile più avanti.

La figura di Giulio Occhionero acquista però un'ulteriore sfumatura—come emerge dall'ordinanza di custodia cautelare—essendo infatti membro della loggia massonica "Paolo Ungari - Nicola Ricciotti Pensiero e Azione" di Roma, di cui ha ricoperto in passato il ruolo di maestro venerabile. L'interesse per i giochi di potere all'interno della massoneria lo ha spinto addirittura a raccogliere informazioni e dati dai suoi stessi fratelli massoni: dall'indagine infatti sono emersi i dati di 524 account di posta elettronica infetti, di cui 338 attribuiti a personaggi noti del mondo massonico.

80% of Costin Raiu12 gennaio 2017

I dati raccolti da Giulio e Francesca Maria, però, non si fermano solo alla massoneria, ma riguardano anche personaggi politici, istituzioni governative, e società private.

LE MAIL INFETTE
Questa rete di raccolta di informazioni è stata messa in piedi utilizzando un attacco tanto semplice quanto difficile da evitare: mail che contengono degli allegati infetti—Secondo l'ultimo report dell'Anti Ahishing Working Group, le email sono ancora il primo vettore di malware. L'indagine, infatti, è iniziata quando un responsabile per la sicurezza dell'ENAV, un'infrastruttura critica nazionale che si occupa del controllo del traffico aereo, ha ricevuto il 1 marzo 2016 un file inviato da uno studio legale con il quale non aveva mai avuto alcun contatto in precedenza. Insospettito, ha quindi girato il file ad una azienda che si occupa di sicurezza informatica e segnalato il malware al CNAIPIC.

Da quel momento la Polizia Postale ha iniziato a ricostruire il quadro della vicenda.

Per comprendere l'efficacia ed il funzionamento del malware Eye Pyramid—un chiaro riferimento ad una delle più note iconografie massoniche—e da cui prende nome l'indagine, ho contattato telefonicamente Federico Maggi, senior threat researcher presso Trend Micro, società che si occupa di sicurezza informatica. Federico, che nella notte fra 10 ed 11 gennaio ha effettuato un'analisi indipendente a partire da alcuni dei dati disponibili nell'indagine—analisi che nel frattempo è stata pubblicata ufficialmente dall'azienda Trend Micro—ha confermato che una versione precedente del malware in questione era stata utilizzata in campagne di spear phishing già nel 2008, 2010, 2011, e 2014. Lo spear phishing è un particolare attacco informatico diretto contro un soggetto ben definito, sia esso un singolo individuo o un'azienda, e con l'obiettivo di sottrarre informazioni sensibili da essi. Solitamente viene effettuato tramite l'invio di mail infette che invitano a scaricare allegati oppure a fornire credenziali di accesso dei propri account online.

Come spiega Federico, i file infetti utilizzano la libreria MailBee.NET.dll—una libreria di codice che permette di inviare in maniera automatica delle mail—per esfiltrare i dati dai computer delle vittime ed inviarli a delle "dropzones", ossia delle mail apposite da cui i due Occhionero raccoglievano le informazioni sottratte. Oltre a questo metodo, erano previste anche le classiche tecniche di comunicazione con i server di Comando e Controllo (C&C), dei server in grado di inviare comandi ai computer infetti e sottrarre da questi dei dati.

Una particolarità della libreria di MailBee, che ha aiutato nelle indagini, è che in tutte le versioni del malware utilizzato essa presentava la stessa licenza di acquisto intestata a Giulio Occhionero, a cui è stato possibile risalire grazie all'intervento dell'FBI che ha fatto richiesta alla società che gestiva le licenze.

Inoltre, alcuni domini e server di C&C, prosegue Federico, sono riconducibili agli Occhionero, come confermato anche nell'ordinanza. Infatti, effettuando un'analisi dei domini eyepyramid.com, hostpenta.com, occhionero.info, westlands.com, ritrovati all'interno del codice del malware, risulta che gli indirizzi IP ed i server di mail di alcuni di questi domini combaciano fra di loro, confermando quindi il collegamento fra Occhionero, l'azienda Westlands, ed il malware EyePyramid.

Al momento non è ancora chiaro se i due Occhionero abbiano interamente scritto il codice del malware da soli o se invece ne abbiano riadattato uno già esistente, oppure addirittura ne abbiano acquistato uno da terze parti.

Gli indizi ottenuti attraverso le intercettazioni telefoniche e telematiche dei due arrestati sembrano incontrovertibili: si apprende dall'ordinanza che, in alcuni screenshot scattati sul computer di Giulio Occhionero, lo si vede intento a modificare dei parametri del malware. In altre intercettazioni emerge inoltre che Giulio sincronizzava nel computer di casa delle cartelle presenti sui server di C&C.

Fra le varie cartelle, due risultano in particolare molto interessanti per capire la portata del malware in questione.

La prima, denominata Hanger, raccoglieva password, cronologia di navigazione, e siti preferiti dai web browser. L'altra cartella, chiamata Reports, conteneva file di tipo testo che venivano prodotti dal keylogging—ovvero la raccolta di tutto ciò che viene digitato sui tasti della tastiera di un pc.

Per quanto riguarda la qualità del malware stesso, aggiunge Federico Maggi, ci sono delle opinioni discordanti: se a un primo sguardo il codice sembra completamente in chiaro, una seconda osservazione permette di scoprire come le informazioni importanti per ricostruire la rete—come indirizzi IP, URL ed indirizzi mail—siano ben offuscate.

Nel frattempo, le indagini in corso dovranno stabilire—anche tramite l'analisi dei server sequestrati negli Stati Uniti dall'FBI—lo scopo di questo sistema di spionaggio. L'ordinanza indica che la Polizia Postale è in possesso di 18.327 username di posta, di cui 1.795 accompagnati dalle rispettive password. I soggetti attaccati sono suddivisi in 122 categorie che indicano la tipologia di target.

C'è ad esempio la categoria BROS molto probabilmente dall'inglese Brothers—che include i fratelli massoni, poi ci sono anche POBU e TABU, che rispettivamente indicano politici italiani e personaggi legati all'amministrazione del porto di Taranto.

Ci sono poi nomi illustri fra cui Mario Monti, Mario Draghi, Fabrizio Saccomanni ed Ignazio La Russa. Per questi ultimi, però, non sono presenti le password di accesso agli account mail, per cui è possibile ipotizzare che non siano stati oggetto di spionaggio.

Fra i politici appare anche il nome di Matteo Renzi ma, al momento, non si hanno prove che la mail dell'ex premier fosse stata infettata. Dall'ordinanza risulta solamente che gli ultimi due tentativi di attacco a Renzi siano stati il 30 ed il 12 giugno 2016, ma non vi è alcun riferimento al loro esito , infatti, a pagina 14 dell'ordinanza (inizialmente assente nella copia dell'ordinanza pubblicata dall'Agi), vi è espressamente scritto che molti di questi account presenti nel database sono privi di password—Matteo Flora ha fornito una spiegazione più completa delle vicende riguardanti l'ex premier.

Questo tipo di malware, in grado di prendere il controllo del computer infetto, raccogliere informazioni ed esfiltrarle, ricorda molto il sistema Remote Control System (RCS), commercializzato dall'azienda italiana Hacking Team, nota per aver venduto la sua tecnologia a governi autoritari, come emerso dalle sue mail pubblicate in un leak nel 2015. Al momento non ci sono prove di un collegamento fra i malware dei due Occhionero e quello di Hacking Team, collegamento che risulta comunque improbabile.

Il settore della sorveglianza digitale è in crescita e sempre più aziende stanno producendo questo tipo di strumenti in grado di garantire controllo ed accesso totali ai computer delle vittime. Aziende anche italiane, come recentemente emerso da un blitz della polizia italiana nella sede dell'azienda Area Spa, che vende sistemi di monitoraggio in grado di catturare il traffico di rete, intercettare le conversazioni e tracciare obiettivi via GPS, stando al suo sito ufficiale.

Un altro esempio è Raxir, una società di sorveglianza con sede nella "Citta della Scienza" di Napoli, che, secondo un gruppo di cacciatori di malware, produce un nuovo spyware che infetta dispositivi Android, concepito per i governi e le forze di polizia.

La questione degli spyware utilizzati dalla polizia—i cosiddetti trojan di stato—ha prodotto un'accesa discussione in Italia, quando, a giugno 2016, si era parlato della nuova proposta di legge, che poi è stata confermata dalla sentenza della Cassazione. Questi malware mettono a rischio la privacy dell'indagato poiché consentono un accesso completo alla vita digitale dell'utente. Come emerso dall'ordinanza, anche nel caso del computer di Giulio Occhionero è stato utilizzato un metodo di intercettazione telematica attiva che ha permesso di catturare degli screenshot dell'attività sul computer dell'indagato, intercettazione che è durata dal 1 al 4 ottobre 2016. Un arco di tempo che, vista anche la frequenza degli screenshot indicati sull'ordinanza potrebbe aver invaso pesantemente la privacy del sospetto.

Non sono presenti ulteriori dati riguardo il numero completo di screenshot acquisiti e le informazioni in esso contenute, ma quello che salta all'occhio è un altro passaggio dell'ordinanza in cui si afferma che nelle indagini hanno assunto "grande rilevanza dapprima le mail di posta inviata da Francesca a Giulio […] e poi il messaggio WhatsApp della mattina seguente".

Alla data del 3 ottobre 2016 WhatsApp aveva già introdotto il sistema di cifratura end-to-end per tutti i dispositivi da circa 6 mesi. Questo sistema garantisce che solamente i due utenti che si stanno scrivendo siano in grado di leggere il contenuto della conversazione, proteggendosi da eventuali tentativi di spionaggio. Non è chiaro quindi come siano riusciti ad ottenere il contenuto di un tale messaggio. L'ipotesi che si possono formulare sono diverse: o il testo dell'ordinanza non è corretto ed in realtà si trattava di un semplice SMS, o la versione di WhatsApp utilizzata dai due Occhionero non era aggiornata, o gli investigatori hanno avuto accesso agli smartphone e/o alle copie di backup dei messaggi, oppure gli agenti della Polizia Postale hanno qualche asso nella manica per quanto riguarda i sistemi crittografati.

Per quanto riguarda invece la possibilità di difendersi da questo tipo di attacchi, come mi conferma Federico, "se mandi una mail di spear phishing ben fatta, non c'è molto da fare". Se la mail proviene da un indirizzo di qualcuno dei nostri conoscenti ed il testo non presenta particolari errori grammaticali e di sintassi, molto probabilmente chiunque aprirebbe l'allegato.

Uno dei punti di vulnerabilità è certamente la componente PowerShell di Windows, un framework che permette di eseguire degli script in automatico. Uno strumento fondamentale per amministratori di rete e di sistema, aggiunge Federico. Però questo componente rappresenta anche un punto debole nelle difese dei computer poiché se si riceve un allegato che contiene del PowerShell, una volta fatto doppio click, Windows lo esegue direttamente, ed a quel punto il computer può essere già compromesso. Non c'è alcun bisogno di una vera e propria vulnerabilità del sistema, si tratta di una procedura costruita all'interno del sistema operativo stesso che lo rende soggetto a questo tipo di attacchi.

Disabilitare questa componente potrebbe essere problematico dal punto di vista di un amministratore di sistema, ma come ha scritto Claudio Guarnieri, ricercatore di sicurezza informatica presso Amnesty International e fellow di Citizen Lab, in un post su Medium, si tratta di "security by default, not by choice". Le aziende e le organizzazioni possono decidere quali configurazioni adottare, ma poi i loro dipendenti sono costretti a seguire quelle scelte senza possibilità di opporsi.

Non possiamo scaricare il peso della sicurezza informatica sulle spalle degli utilizzatori finali del prodotto, chiedendo che stiano attenti a non cliccare sui file o tengano conto dei segnali di allerta che a volte—ma non sempre—il computer invia quando si stanno aprendo documenti sospetti, perché è proprio il lavoro dei dipendenti aprire file ed allegati ricevuti sul posto di lavoro. Addirittura, segnala sempre Claudio, ci sono delle tecniche che vengono chiamate "Security Bypass by Annoyance", ossia si sfondano le difese di sicurezza per sfinimento, continuando ad inviare file infetti dal momento che "se i primi tentativi non funzionano, poi forse a partire dal quinto o sesto la vittima cederà ed aprirà il file".

La banalità di questo tipo di attacchi informatici non deve essere una colpa degli utenti. Per questo motivo, Claudio ed un suo collega, che fanno parte di Security Without Borders, di cui avevamo parlato qui, hanno raccolto dei consigli per disabilitare alcune impostazioni di default dannose. È necessario precisare che si tratta di un esperimento e quindi, come riportato nel messaggio introduttivo della pagina GitHub dedicata, alcune di queste procedure potrebbero produrre malfunzionamenti ai pc.

Tornando ai due Occhionero, sarà importante stabilire la mole complessiva e l'utilizzo che è stato fatto dei dati sottratti e capire se ed in quali modi hanno potuto beneficiare di tale attività di spionaggio.