Come funziona EyePyramid: le prime analisi

Gen 11, 2017 Marco Schiaffino Approfondimenti, Attacchi, Campagne malware, Gestione dati, In evidenza, News, RSS 0

Emergono i primi dettagli sulle modalità di funzionamento del malware che ha permesso di violare i computer di politici di primo piano e funzionari pubblici.

Dopo il clamore per la scoperta della rete di spionaggio battezzata EyePyramid, che ha consentito ai fratelli Giulio e Francesca Maria Occhionero di violare migliaia di PC appartenenti a personaggi di alto profilo della politica, è ora il momento dell’analisi sugli strumenti e le tecniche usati dai due.

Un primo rapporto è stato stilato da Federico Maggi, ricercatore di Trend Micro che sta analizzando il malware utilizzato nell’operazione.

Nel suo report, Maggi analizza prima di tutto la tecnica di attacco. “Si tratta di un classico attacco di spear phishing” spiega il ricercatore di Trend Micro. “I cyber-criminali hanno fatto in modo che i messaggi a cui era allegato il malware non destassero sospetti, pianificando attentamente l’attacco”.

Gli Occhionero avrebbero per prima cosa compromesso alcune caselle email (quelle note sono 15) utilizzate, per la maggior parte, da studi legali che presumibilmente avevano rapporti con i bersagli finali dell’operazione.

antoniaf@poste[.]it
mmarcucci@virgilio[.]it
i.julia@blu[.]it
g.simeoni@inwind[.]it
g.latagliata@live[.]com
rita.p@blu[.]it
b.gaetani@live[.]com
gpierpaolo@tin[.]it
e.barbara@poste[.]it
stoccod@libero[.]it
g.capezzone@virgilio[.]it
baldarim@blu[.]it
?.elsajuliette@blu[.]it
dipriamoj@alice[.]it
izabelle.d@blu[.]it

Avrebbero poi usato questi account per inviare il malware ai bersagli, forse sotto forma di un file PDF, contando sul fatto che le potenziali vittime considerassero i mittenti affidabili.

Per coprire le loro tracce, gli attaccanti hanno usato un collegamento tramite la rete Tor, utilizzando alcuni mail server (uno di quelli usati è di Aruba 62.149.158.90) per l’invio dei messaggi infetti.

Le prime analisi del malware fanno pensare a un trojan per Windows fatto su misura, anche se non particolarmente elaborato.

“Non è molto complesso” spiega a SecurityInfo Federico Maggi “ma si tratta in ogni caso di un malware scritto in un linguaggio di alto livello (C Sharp) e che contiene numerose funzionalità avanzate”.

L’ipotesi è che si tratti di un trojan già conosciuto (forse MSIL/Cribz.a) a cui sono state aggiunte nuove funzioni e strumenti. Tra queste, per esempio, un sistema che permette al trojan di verificare se si trovi in un ambiente virtuale (di solito usato dagli analisti per studiare i malware – n.d.r) e, nel caso, cessare qualsiasi attività.

Non stupisce, quindi, che sia passato inosservato a lungo e che molti antivirus non fossero in grado di individuarlo. La sua scoperta, infatti, è avvenuta grazie a una segnalazione partita dal responsabile della sicurezza dell’ENAV, Francesco Di Maio.

Di Maio si è insospettito quando ha ricevuto un’email con allegato da uno studio legale che non conosceva e con il quale non aveva mai avuto a che fare. Insospettito ha contattato una società di sicurezza per analizzare il file.

Solo a quel punto sono stati coinvolti anche gli esperti del CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) che hanno dato il via alle indagini per rintracciare gli autori del malware.

Come spiega Federico Maggi, EyePyramid integra numerosi strumenti di spionaggio, alcuni dei quali non sono ancora stati analizzati. Di certo si sa che integra un keylogger che consente di registrare tutto ciò che viene digitato sulla tastiera del computer infetto. Il malware avrebbe consentito agli Occhionero di sottrarre 18.327 username e 1.793 password, ma non solo. Gli investigatori stimano che i due abbiano messo le mani, complessivamente, su circa 87GB di dati.

“EyePyramid integra un sistema di harvesting che scandaglia determinate cartelle alla ricerca di file che vengono poi esfiltrati via Internet. Il malware cerca solo i file che hanno determinate estensioni e li invia tramite email” spiega Maggi.

Oltre a documenti e file di varia natura, il malware raccoglieva anche altre informazioni, come la cronologia di navigazione su Internet e altri dati sensibili riguardanti gli utilizzatori delle macchine infette.

Il trojan era controllato attraverso alcuni server Command and Control (C&C) situati negli Stati Uniti, che facevano riferimento a una serie di domini che Maggi è riuscito a rintracciare partendo dalle informazioni contenute nell’ordinanza di custodia cautelare nei confronti degli Occhionero.

Il nome assegnato al malware è un chiaro riferimento alla massoneria, di cui Giulio Occhionero faceva parte. Lo stesso nome è usato anche in un dominio associato ai server C&C usati dai cyber-criminali.

Come conferma il ricercatore, non tutti sono stati usati come server C&C, ma condividono la stessa struttura di hosting. Dall’elenco dei domini (eyepyramid.com; hostpenta.com; ayexisfitness.com; enasrl.com; eurecoove.com, marashen.com; millertaylor.com; occhionero.com; occhionero.info; wallserv.com; westlands.com) però, è evidente la correlazione con gli indagati.

Gli account di posta usati come “drop zone” nell’ultima versione sono sei:

gpool@hostpenta[.]com

hanger@hostpenta[.]com

hostpenta@hostpenta[.]com

ulpi715@gmx[.]com (non verificato)

Un altro elenco di indirizzi di posta, invece, sembra essere stato usato in passato (nel 2010) per lo stesso scopo:

purge626@gmail[.]com

tip848@gmail[.]com

dude626@gmail[.]com

octo424@gmail[.]com

Stando a quanto riportato nell’ordinanza, poi, per i file di dimensioni maggiori (che non potevano essere inviati via mail server) il malware utilizzava servizi di cloud storage. Tutti i dati venivano poi organizzati in cartelle e conservati sui server controllati dai cyber-criminali.