Analisi

‘Eye Pyramid’ The Italian Job: una storia di malware, spionaggio e massoneria

Due fratelli, Giulio e Francesca Maria Occhionero, avevano messo sotto controllo informatico Renzi, Draghi, Monti ed altre personalità per rivenderne dati e informazioni

Le forze dell’ordine italiane hanno individuato una vera e propria centrale di sorveglianza che negli anni aveva messo sotto controllo esponenti di spicco delle istituzioni e dell’imprenditoria.

illuminati
Molti i nomi noti tra le vittime dell’attività di spionaggio informatico emersa nel corso dell’inchiesta ‘Eye Pyramid,’ tra essi Mario Draghi, Matteo Renzi e Mario Monti.

Da anni, due fratelli Giulio (45) e Francesca Maria Occhionero (49) utilizzavano lo strumento informatico per controllare numerosi esponenti di spicco dei del nostro paese. I due sono stati arrestati dalla Polizia Postale con l’accusa di “procacciamento di notizie concernenti la sicurezza dello Stato; accesso abusivo a sistema informatico; e intercettazione illecita di comunicazioni informatiche”.

I sospetti avevano preso di mira le informazioni custodite nei sistemi un gran numero di persone in settori strategici del nostro paese, dall’ambito militare a quello politico.

Dal 2011 all’agosto del 2016, i fratelli Occhionero hanno attaccato 18.327 account di posta, per 1793 di essi sono riusciti a rubare le credenziali di accesso e quindi ad accedere ai dati delle vittime.

“In molti casi i sistemi informatici aggrediti sono certamente di interesse militare o relativi all’ordine e sicurezza pubblica o, comunque, di interesse pubblico” spiega il Giudice per le indagini Preliminari.

I due operavano con l’intento di acquisire informazioni per trarre profitto per se o per individui ed organizzazioni ancora da chiarire.

Accedendo alle caselle di posta delle vittime i due trafugavano informazioni sensibili che alimentavano quindi i dossier che redigevano su autorità dello Stato, politici, avvocati, imprenditori, ed esponenti delle principali logge massoniche.

Nella lista degli spiati ci sono anche i nomi di Piero Fassino, Daniele Capezzone, Ignazio La Russa e Vincenzo Scotti, Alfonso Papa, Walter Ferrara, Paolo Bonaiuti, Michela Brambilla, Luca Sbardella, Fabrizio Cicchitto, Vincenzo Fortunato, Mario Canzio, il cardinale Gianfranco Ravasi, Paolo Poletti della Gdf.

Chi sono i due sospetti e come operavano?

Contrariamente a quanto si possa pensare i sue sono molto noti negli ambienti dell’alta finanza ma pressoché sconosciuti agli ambienti della cyber security italiana.
Entrambi residenti a Londra ma domiciliati a Roma, i due fratelli sono titolari della Westland Securities, una società di consulenza finanziaria.
Giulio, ingegnere nucleare, viene descritto come una persona di cultura elevata addentro agli ambienti della massoneria italiana. L’ordinanza conferma la sua appartenenza ad una specifica loggia massonica della Capitale.

Proprio gli esponenti della medesima loggia sono oggetto di interesse di Occhionero, il quale aveva messo i suoi fratelli massoni sotto stretto controllo per giochi di potere all’interno del Grande Oriente d’Italia. Tra le vittime il Gran Maestro Stefano Bisi ed altri membri di logge del GOI del Lazio.

Ai due sospetti viene contestato anche il reato di “accesso abusivo a sistema informatico/telematico,” azione perpetrata attraverso l’uso di un malware di cui discuteremo a breve.

L’indagine del Cnaipic e il malware che evolve

Gli esperti del Centro nazionale anticrimine informatico – Cnaipic del Servizio Polizia postale e delle comunicazioni hanno constatato che i due utilizzavano una versione del malware EyePyramid per compromettere i sistemi delle vittime ed esflitrare un gran quantitativo di informazioni. I due fratelli riuscivano così a trafugare email, documenti, cronologie di navigazione Internet e molto altro. Dalle indagini è emerso che il codice malevolo utilizzato dai sospetti si è evoluto nel tempo. Nuove funzionalità sono state aggiunte come la possibilità di geo-localizzare le vittime a partire dal relativo IP oppure nuove forme di controllo remoto del malware sul PC della vittima.

I due quindi potevano contare sul supporto di qualcuno che curava l’evoluzione del malware affinché potesse sfuggire alla rilevazione delle principali soluzioni di sicurezza delle vittime.

Le indagini sono partite a seguito della segnalazione di un addetto alla sicurezza dell’Enav, avvocato Francesco Di Maio, il quale è stato insospettito da una mail ricevuta dal professionista romano il professor Ernesto Staiano, con il quale tuttavia l’Ente non aveva rapporto alcuno. La mail è risultata poi esser stata inviata attraverso la rete di anonimizzazione Tor.

Il messaggio conteneva un versione del malware EyePiramid, uno spyware che veniva controllato dagli attaccanti attraverso dei server (Command and Control) locati negli Stati Uniti.

Riassumendo i due fratelli operavano una botnet di macchine infette dal malware EyePyramid, un codice malevolo appartenente alla famiglia dei Remote Access Tool (RAT) in uso per il controllo di PC infetti.
Il malware in questione non è una novità nel panorama delle minacce informatica, trattasi di un codice malevolo scoperto nel 2008.

Come si nasconde il malware Eye-piramid

Vi starete chiedendo come sia possibile che un malware così datato possa eludere il controllo dei principali sistemi antivirus. Gli sviluppatori di malware usano implementare tecniche per offuscamento del codice, quindi partendo da un malware noto è possibile dargli nuova veste sviluppando attorno ad esso un livello supplementare che ne maschera le fattezze ai sistemi antivirus rendendolo irriconoscibile.

Resta a questo punto da chiarire quali informazioni sensibili degli organi di stato siano stati trafugati e chi ne abbia poi avuto acceso.

Personalmente ritengo che i fratelli Occhionero siano parte di una ampia organizzazione che poteva contare anche su una rete di esperti informatici che hanno supportato i due nell’evoluzione dei propri strumenti di spionaggio.

A questo punto non ci resta che sperare in qualche errore compiuto dagli hacker e nella capacità investigativa della nostra Polizia Postale.

Vi lascio con una curiosità, qualche collega ipotizza un legame tra il malware utilizzato dai due fratelli e le attività di spionaggio condotte dall’NSA. L’Agenzia Americana potrebbe avere a sua volta hackerato botnet come quella utilizzata dai due fratelli per esfiltrare documenti dalle autorità Italiane. Queste per ora sono solo esercizi di fantasia, forse frutto della stanchezza di una lunga giornata … ma talvolta la realtà supera la finzione.

Qui un link per coloro che intendono approfondire la cosa.

Galaxy Note 8, tutte le notizie prima del lancio

Dopo la sfortunata storia del Note 7, quest’anno Samsung spera di bissare il successo del Galaxy S8. Con un terminale munito di pennino e accessori omaggio per chi prenota subito

Il motore di ricerca della moda cresce e aggiunge altre città | Papèm

La startup, guidata da Alberto Lo Bue e Carlo Alberto Lipari, dopo aver ricevuto il premio Endeavor ai MYllennium awards, ha annunciato che l’espansione non si fermerà fino a quando Papèm non sarà presente in ogni angolo di tutte le città

Android 8.0, nome in codice: Oreo

Rispettata la tradizione dei dolcetti anche nella nuova release del sistema operativo mobile di Google. Che porta in dote novità per velocità e sicurezza

Zooppa lancia il primo contest per video VR a 360°. Ecco come partecipare

C’è tempo fino al 16 ottobre, saranno selezionati i migliori video promozionali o di storytelling girati con tecnologia 360° e della durata massima di 120 secondi
Garmin è partner tecnologico dell’iniziativa e mette in palio 5 Camere VIRB 360

DevSecOps: lo sviluppo software agile attento alla sicurezza

Sviluppatori, esperti di sicurezza, reparto IT: tutti devono collaborare per creare software davvero sicuro. Un concetto che si concretizza nel DevSecOps, un modo moderno e veloce per arrivare dall’idea alla produzione senza correre rischi