5790 Letture

Botnet Eye Pyramid usata per spiare politici e imprenditori

Una botnet come tante altre quella scoperta e neutralizzata dal Centro nazionale anticrimine informatico della Polizia postale (CNAIPIC) con un'importante peculiarità: diversamente dalle altre, era stata creata per spiare politici, pubbliche amministrazioni, istituzioni, imprenditori e studi professionali sull'intero territorio italiano con lo scopo di raccogliere informazioni confidenziali, rivenderle a terzi e trarne profitto.

Secondo le prime analisi, la botnet sarebbe stata operativa per anni in Italia e due soggetti - romani di nascita ma residenti all'estero (a Londra) - avrebbero potuto spiare liberamente tutti i "segreti" di personalità di prim'ordine.

Botnet Eye Pyramid usata per spiare politici e imprenditori

Il principio è lo utilizzato da qualunque botnet: il primo passo consiste nel provocare l'infezione dei sistemi delle vittime quindi nel collegare automaticamente le stesse macchine, in maniera silente, a una rete di computer infettati (la botnet, appunto).
Attraverso un componente server (detto command and control), gli aggressori - ideatori della botnet - possono controllare da remoto l'intera rete di computer infetti e, a seconda delle funzionalità implementate nel modulo client (il malware installato sul sistema delle vittime), monitorare in tempo reale le conversazioni, sottrarre file memorizzati o via a via aggiunti sulla macchina, recuperare rubriche e indirizzi email altrui, inviare email usando account di terzi e così via.

Nel caso di Eye Pyramid, questo il nome di malware e botnet messi a punto dai due italiani, però, le funzionalità integrate hanno permesso di isolare - tra quelli infettati - i sistemi di bersagli sensibili, con la possibilità poi di trarre da essi informazioni personali e dati sensibili quasi in tempo reale.


Molte informazioni, di incommensurabile valore soprattutto in campo finanziario, sarebbero così state trafugate e girate a terzi per un lungo periodo di tempo, all'insaputa dei soggetti interessati dall'aggressione.


Tra le "vittime illustri" figurano i nomi di Matteo Renzi, Mario Draghi, Mario Monti, il comandante generale della Guardia di Finanza Saverio Capolupo, il banchiere Fabrizio Saccomanni oltre a Piero Fassino, Daniele Capezzone, Ignazio La Russa, Vincenzo Scotti, Alfonso Papa, Walter Ferrara, Paolo Bonaiuti, Michela Brambilla, Luca Sbardella, Fabrizio Cicchitto, Vincenzo Fortunato, Mario Canzio.

L'infezione dovrebbe aver avuto inizio semplicemente aprendo un allegato trasmesso via email. Gli autori dell'operazione, però, dopo le prime infezioni, potrebbero aver creato contenuti "ad hoc" così da indurre i destinatari delle email ad aprire gli allegati senza porsi troppe domande.

Lascia comunque di stucco che un'aggressione certamente riconoscibile usando prodotti per la sicurezza dotati, almeno, di funzionalità di analisi comportamentale in tempo reale abbiamo potuto avere gioco così facile sui sistemi appartenenti a figure di primo piano della politica, dalla funzione pubblica in generale, della finanza, del mondo dell'impresa.

I due fratelli "menti" della botnet non hanno fatto in tempo a distruggere le prove dei reati: un'azione ben coordinata fra CNAIPIC e FBI (i server d'appoggio della botnet erano situati negli Stati Uniti) ha permesso di arrivare al sequestro senza insospettire i criminali informatici.

Sui server sono stati trovate, insieme con altro materiale, due cartelle in cui venivano - rispettivamente - "catalogati" i politici oggetto di aggressione e i presunti soggetti afferenti a una loggia massonica.

  1. Avatar
    [Claudio]
    12/01/2017 19:36:32
    Una analisi più tecnica (quindi NO cartastraccia), prodotta da TrendMicro: cliccare qui. Buona lettura ..... a chi leggerà (3/4 persone in tutto).
  2. Avatar
    [Claudio]
    12/01/2017 13:40:36
    Per fortuna, esiste Paolo Attivissimo:
    Citazione: Ieri c’è stato un delirio collettivo di titoli di testate giornalistiche che dichiaravano senza alcun dubbio che gli account di mail di Draghi, Renzi e Monti erano stati violati .....
    http://attivissimo.blogspot.it/2017/01/ ... aggio.html http://attivissimo.blogspot.it/2017/01/ ... monti.html Altro ( Stefano Zanero, non proprio uno che passa per caso ), qui: https://www.facebook.com/raistolo/posts ... 8726324307 Ora è tutto più chiaro. In generale, ci sarebbero da fare diverse considerazioni (per esempio, per quale ragione si permetta ad un Presidente del Consiglio di utilizzare spavaldamente i propri personali device probabilmente non adeguatamente posti in totale sicurezza) .... ma sorvolo .... :popcorn: Sulla eclatante vicenda, sarebbe interessante leggere sul forum un intervento di Eraser ( Marco Giuliani ) :wink:
  3. Avatar
    underscore
    11/01/2017 20:47:54
    Citazione: ":2deyoy27]Forse sarebbe il caso di legggersi per intero l'ordinanza di custodia cautelare per capire che questa storia non e' cosi grossa come la stampa (che, evidentemente, del tema capisce poco o nulla) vuol far credere. Insomma, almeno per ora e fino a prova contraria ...... tanta fuffa giornalistica ..... e poco arrosto. Oggi, sulla questione ho letto di tutto .... un mare magnum di sciocchezze senza senso e senza alcuna valenza strettamente tecnica. Ma fare disinformazione, creare confusione, generare inutili tensioni, e' abitudine, per la stampa nostrana. Amen :popcorn: P.S.: Michele, tengo a precisare che il tuo articolo non c'entra nulla con quanto esposto sopra; come è nel tuo stile, riporti la notizia senza trarre delle conclusioni azzardate o insussistenti.
    Quoto in toto il messaggio...as usual la stampa condisce abbondantemente quanto viene esposto. Mi sento di sottolineare anche la parte riguardante l'articolo de ilsoftware: fatti non pugnette :approvato:
  4. Avatar
    [Claudio]
    11/01/2017 18:58:24
    Forse sarebbe il caso di legggersi per intero l'ordinanza di custodia cautelare per capire che questa storia non e' cosi grossa come la stampa (che, evidentemente, del tema capisce poco o nulla) vuol far credere. Insomma, almeno per ora e fino a prova contraria ...... tanta fuffa giornalistica ..... e poco arrosto. Oggi, sulla questione ho letto di tutto .... un mare magnum di sciocchezze senza senso e senza alcuna valenza strettamente tecnica. Ma fare disinformazione, creare confusione, generare inutili tensioni, e' abitudine, per la stampa nostrana. Amen :popcorn: P.S.: Michele, tengo a precisare che il tuo articolo non c'entra nulla con quanto esposto sopra; come è nel tuo stile, riporti la notizia senza trarre delle conclusioni azzardate o insussistenti.
  5. Avatar
    kerberos5
    11/01/2017 14:20:43
    Per precisare un po le cose trattate nell'articolo per allegato è stato utilizzato un pdf quindi come è noto un file pdf non può essere eseguito perchè windows implementa DEP (data execution prevent) ossia non possono essere eseguite istruzioni al di fuori delle aree di memoria prestabilite... Quindi i fratelli in questione si sono avvalsi con molta probabilità di un exploit (0-day tra l'altro costosissimo) per bypassare la DEP e eseguire il codice malevolo contenuto nel pdf. La cosa che mi sconvolge data cmq la comprovata bravura del tizio che ha codato il malware come non abbia pensato a proteggere la propria identità utilizzando server USA quando poteva appoggiarsi a server dell'est europa molto più difficili (molti non loggano e non c'è estradizione) da esaminare per la magistratura.
Botnet Eye Pyramid usata per spiare politici e imprenditori - IlSoftware.it