{"id":9579,"date":"2017-01-13T08:18:51","date_gmt":"2017-01-13T08:18:51","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=9579"},"modified":"2017-11-13T17:43:57","modified_gmt":"2017-11-13T15:43:57","slug":"eye-pyramid-spyware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/eye-pyramid-spyware\/9579\/","title":{"rendered":"EyePyramid: malware spensierato"},"content":{"rendered":"

Quando parliamo di malware sul blog Kasperky Daily (e lo facciamo abbastanza spesso) scegliamo in genere tipi di malware che, stando ai nostri dati, hanno gi\u00e0 compromesso tanta gente. CryptXXX<\/a>, TeslaCrypt <\/a>e altri malware che hanno attaccato milioni di persone nel mondo sono solo qualche esempio. I malware rilevati solo poche volte non meritano in genere\u00a0molta attenzione. Come ben saprete\u00a0 ci sono tanti malware l\u00e0 fuori (e non possiamo dedicare un post del blog ad ognuno di essi).<\/p>\n

\"\"<\/p>\n

Ma questa \u00e8 l\u2019eccezione che conferma la regola. Oggi parleremo di un malware chiamato EyePyramid. No, non l\u2019abbiamo chiamato noi cos\u00ec, l\u2019hanno fatto i suoi creatori. E il motivo per cui parleremo di EyePyramid \u00e8 che questo malware si distingue dalla massa e la sua storia sembra essere quasi una favola. \u00c8 la storia di un piccolo uomo che ottiene grandi risultati (e alla fine fallisce).<\/p>\n

Spionaggio di una famiglia italiana<\/h2>\n

Iniziamo dal fatto che EyePyramid era principalmente un\u2019impresa di famiglia. Il malware in s\u00e9 era stato creato da un quarantacinquenne italiano, Giulio Occhionero, laureato in ingegneria nucleare. Lui e la sorella, Francesca Maria Occhionero, 48 anni, diffondevano il malware. Hanno lavorato insieme in una piccola societ\u00e0 chiamata Westland Investment.<\/p>\n

Secondo un verbale della polizia italiana pubblicato <\/a>recentemente, EyePyramid \u00e8 stato diffuso tramite spear phishing e ha attaccato molti membri del governo italiano insieme a massonerie, studi legali, servizi di consulenza, universit\u00e0 e anche i cardinali del Vaticano.<\/p>\n

Perch\u00e9 mai tutto questo? Una volta installato, il malware dava accesso ai suoi creatori a tutte le risorse dei computer delle vittime. Veniva utilizzato con l\u2019unico scopo di raccogliere informazioni che, stando<\/a> all\u2019SC Magazine, venivano poi usate a loro volta per fare investimenti pi\u00f9 redditizi. Utilizzavano il malware come uno strumento di analisi. Personalmente non riesco a trovare la connessione tra gli investimenti e i cardinali, ma sembra che i criminali siano riusciti a farlo.<\/p>\n

Le posizioni di rilievo delle vittime e anche il fatto che la polizia italiana non fornisse dettagli su EyePyramid, eccetto l\u2019indirizzo dei server command-and-control e alcune delle mail utilizzate, hanno attirato l\u2019attenzione dei nostri esperti di GReAT. Per questo motivo hanno deciso di fare delle indagini per conto loro<\/a>.<\/p>\n

Cybercrimine inesperto<\/strong><\/h3>\n
Alcuni media insistono sul fatto che EyePyramid sia complesso e sofisticato. Non lo \u00e8. Al contrario, \u00e8 un malware abbastanza semplice<\/div>\n

Utilizzando le informazioni del verbale della polizia, i nostri analisti sono stati in grado di trovare 44 diversi tipi di EyePyramid e questo ci ha fatto capire molte cose sulla faccenda. Alcuni media insistono sul fatto che EyePyramid sia complesso e sofisticato. Non lo \u00e8. Al contrario, \u00e8 abbastanza semplice. La coppia di cybercriminali ha impiegato metodi come l\u2019utilizzo di diversi spazi per mascherare l\u2019estensione dei file eseguibili che contenevano il malware. Questo trucchetto sembra semplice ma ha funzionato.<\/p>\n

Sembra anche che gli Occhionero abbiano avviato la parte criminale della loro attivit\u00e0 molto tempo fa (i modelli pi\u00f9 vecchi che siamo riusciti a trovare risalivano al 2010). Gli ufficiali italiani dicono che la coppia potrebbe essere attiva dal 2008.<\/p>\n

Essendo entrambi principianti nel settore del cybercrimine, non sono riusciti a mantenere una buona sicurezza operativa. Infatti, non si preoccupavano affatto della sicurezza: parlavano delle proprie vittime per telefono (e si sa che le telefonate possono essere intercettate <\/a>facilmente dalle forze dell\u2019ordine) e tramite WhatsApp (che prima di quest\u2019anno<\/a> non utilizzava la crittografia end-to-end) e lasciavano tracce degli indirizzi IP associati alla loro azienda.<\/p>\n

Tuttavia, secondo le stime della polizia italiana, i due hanno operato almeno per tre anni e forse anche per pi\u00f9 di otto anni, prendendo di mira 16.000 vittime e riuscendo ad avere accesso ai computer delle vittime pi\u00f9 di 100 volte. La coppia \u00e8 riuscita ad ottenere tante informazioni (decine di gigabytes di dati che li hanno aiutati a migliorare i loro investimenti.<\/p>\n

La fine di una favola<\/strong><\/h3>\n

Questa \u00e8 la conferma perfetta della teoria che investire nel settore dell\u2019istruzione (in questo caso nel conoscere la sicurezza operativa) paga. Il 10 gennaio sia Giulio che Francesca Maria Occhionero sono stati arrestati dall\u2019FBI, quindi adesso la festa del malware inesperto \u00e8 finita.<\/p>\n

La loro lunga corsa potrebbe sembrare sorprendente ma forse il loro segreto sta nella semplicit\u00e0 del malware. Sembrava essere troppo noioso fare indagini in maniera approfondita e Kaspersky Security Network ha rilevato solo 92 tentativi di infezione. Tutto questo sarebbe solo una goccia d\u2019acqua nell\u2019oceano se si paragona al numero di tentativi di infezioni con il famoso ransomware. Ad ogni modo i criminali sono in prigione e il mondo continua a girare.<\/p>\n","protected":false},"excerpt":{"rendered":"

La storia di due principianti che sono stati in grado di spiare gli ufficiali italiani per anni senza essere presi.<\/p>\n","protected":false},"author":696,"featured_media":9580,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[2297,2298,22,1104,1103],"class_list":{"0":"post-9579","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-eyepyramid","10":"tag-italia","11":"tag-malware-2","12":"tag-spionaggio","13":"tag-spyware"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/eye-pyramid-spyware\/9579\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/eye-pyramid-spyware\/8806\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/eye-pyramid-spyware\/9863\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/eye-pyramid-spyware\/6612\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/spyware\/","name":"spyware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9579","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=9579"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9579\/revisions"}],"predecessor-version":[{"id":14624,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9579\/revisions\/14624"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/9580"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=9579"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=9579"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=9579"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}