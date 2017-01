Direttamente dai media televisivi, nelle tarde ore della giornata di ieri si è scoperto un nuovo malware di portata internazionale, voluto allo scopo di porre in essere un complesso sistema di intercettazioni a scapito di politici italiani ed istituzioni locali. Sono stati in molti a chiedersi, sul piano prettamente tecnico, quale sia il metodo operativo di questa nuova minaccia, volutamente introdotta allo scopo di stravolgere gli equilibri del Paese.

Creato da un ingegnere nucleare quarantacinquenne e dalla sorella quarantanovenne residenti a Londra ma domiciliati a Roma, il malware è stato creato utilizzando il principio della botnet, ovvero sia una vasta rete di computer e dispositivi infettati ad hoc per carpire informazioni sensibili.

Si chiama EyePyramid, il malware spia rilevato dagli analisti esperti di sicurezza che, nel corso di queste ore, ha portato alla luce una minaccia risalente al lontano 2008. Un sistema veramente poco conosciuto ed usato già per alcuni attacchi informatici ad hoc e che, negli anni, non ha dovuto necessariamente subire un update tecnologico, operando di fatto in sordina.

Si tratta di un RAT Malware (acronimo di Remote Access Control) e, quindi, consente, dopo un’installazione, di prendere il controllo remoto del dispositivo ospite, carpendo dati e facendo screeshot. La vasta maglia di computer infetti consente agli hacker di operare in maniera silente e di rendersi partecipi di informazioni che, in una fase successiva, vengono riversate in server remoti localizzati in territorio statunitense. Un metodo, questo di derivare i dati verso locazioni estere, che ha consentito un cyberspionaggio stealth del tutto inosservato alla autorità.

Di fatto, negli USA, risiede il maggior numero di server host di tutto il pianeta. Non si sarebbe mai arrivati ad una conclusione, se il responsabile dell’ENAV non avesse riportato l’esistenza di una mail contraffatta che avrebbe potuto infettare la propria rete., Gli interessati sono ora al vaglio degli inquirenti, i quali hanno disposto l’arresto.

Gastone Nencini, Country Manager Trend Micro Itali ha commentato dicendo che:

Quanto successo è la dimostrazione che i dati sono l’obiettivo principale di qualsiasi tipologia di cybercriminale e che sistemi di difesa non adeguati possono portare alla compromissione dei dati stessi. Un approccio multilivello che non sfrutti la correlazione delle informazioni può portare a queste situazioni di crisi, occorre un approccio olistico che non si limiti solo al prodotto ma a un processo di gestione completo delle informazioni relative alle singole minacce con sistemi in grado di poter operare con tecnologie differenti contemporaneamente riducono il rischio di compromissione

L’email è stata rinvenuta nella mailbox del funzionario a partire dallo scorso Gennaio 2016 ed aveva come soggetto mittente uno studio legale verso il quale, l’interessato, non aveva mai avuto contatti o relazioni di alcun genere. Il sospetto, in questo caso, ha giocato a favore delle indagini che hanno portato alla cattura dei cybercriminali. E, proprio come in questi casi, è questo il consiglio che noi ci sentiamo di profondere: contro qualsiasi minaccia informatica (reale o presunta che sia) dimostrate sempre un certo grado di diffidenza. Di fatto, è questa la migliore arma per respingere qualsiasi tentativo di attacco o intrusione.

In merito alla vicenda, infatti, si era riscontrato – tramite l’aiuto del Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale – un classico tentativo di phishing che, in allegato al testo, riportava un file infetto. Una tipologia di phishing decisamente sofisticata, in cui, partendo dall’allegato, si riconduce al server ospitante EyePyramid, ove trovano posto i file di configurazione attivi per le macchine compromesse.

