Eye Pyramid, una prima analisi su cosa è successo

Dagli esperti di Trend Micro l'analisi su cosa è successo con Eye Pyramid in merito al furto di informazioni riservate. La metodologia e l'analisi in base all'Ordinanza di Custodia Cautelare del GIP dott. M. P. Tomaselli.

Trend Micro presenta una prima analisi a caldo sull'operazione Eye Pyramid. A cura di Federico Maggi, Senior Threat Researcher di Trend Micro.
L'analisi si basa sull'Ordinanza di Custodia Cautelare del GIP dott. M. P. Tomaselli (PDF) oltre a una serie di analisi condotte dal ricercatore su fonti pubbliche e cerca di limitarsi alle questioni tecnicamente rilevanti, tralasciando informazioni personali come nomi e cognomi di facile reperibilità.

Cosa è successo?
Furto di informazioni riservate quali, ad esempio:

18.327 username
1.793 password
dati digitati via tastiera (rubati attraverso un keylogger)

Si stimano circa di 87GB di dati, che ovviamente vanno oltre quanto elencato qui sopra. Sull'Ordinanza altri dettagli.

Quando?
Dal 2012 ad oggi.
Precedenti versioni del malware impiegato (di origini sconosciute, salvo speculazioni) sembrano essere state impiegate nel 2008, 2010, 2011 e 2014 in diverse campagne di spear-phishing.

Contro chi?
Le informazioni riservate oggetto di furto sono riferite, prodotte o in altro modo appartenenti a: professionisti, privati e pubblici, operanti in settori chiave dello Stato.

I domini degli indirizzi email sono:

enav.it
istruzione.it
gdf.it
bancaditalia.it
camera.it
senato.it
esteri.it
tesoro.it
finanze.it
interno.it
istut.it
matteorenzi.it
partitodemocratico.it
pdl.it
cisl.it
comune.roma.it
regione.campania.it
regione.lombardia.it
unibocconi.it

Come?

L'aggressore (o gli aggressori) hanno seguito questi passi:

Preparano (meglio, riutilizzano una versione modificata di) un malware che sembra fare hooking delle API di MailBee.NET.dll (una libreria .NET usata per creare applicazioni di posta elettronica) per intercettare i dati gestiti dai programmi di posta elettronica. In particolare, la chiave di licenza del componente MailBee sarebbe (? = illeggibile) MN600-D8102?501003102110C5114F1?18–0E8CI
Compromette (non si sa bene come) alcune caselle email (sono almeno 15 quelle note), in particolare caselle appartenenti a vari studi legali
Si collega alla rete Tor (per quanto informazione poco utile, l'unico exit node noto è 37.49.226[.]236)
Attraverso un mail server (tra quelli noti c'è il mail server di Aruba 62.149.158[.]90) invia delle mail alle vittime usando come mittente un indirizzo email delle caselle compromesse, contenenti un allegato malevolo (c'è chi sostiene che si tratti di un PDF: fonte non certa)
Attende che le vittime aprano gli allegati, avviando quindi il malware
Il malware invia i dati sottratti verso diverse caselle di posta gestite dall'aggressore

Dettagli

Indirizzi email
Usati attualmente per raccogliere le informazioni riservate

gpool@hostpenta[.]com
hanger@hostpenta[.]com
hostpenta@hostpenta[.]com
ulpi715@gmx[.]com — incerto

Usati nel 2010 allo stesso scopo

purge626@gmail[.]com
tip848@gmail[.]com
dude626@gmail[.]com
octo424@gmail[.]com

Usati come mittenti delle mail di spear-phishing

antoniaf@poste[.]it
mmarcucci@virgilio[.]it
i.julia@blu[.]it
g.simeoni@inwind[.]it
g.latagliata@live[.]com
rita.p@blu[.]it
b.gaetani@live[.]com
gpierpaolo@tin[.]it
e.barbara@poste[.]it
stoccod@libero[.]it
g.capezzone@virgilio[.]it
baldarim@blu[.]it
?.elsajuliette@blu[.]it
dipriamoj@alice[.]it
izabelle.d@blu[.]it

Altri:

lu_1974@hotmail[.]com

Host (C&C)

eyepyramid[.]com
hostpenta[.]com
ayexisfitness[.]com
enasrl[.]com
eurecoove[.]com
marashen[.]com
millertaylor[.]com
occhionero[.]com
occhionero[.]info
wallserv[.]com
westlands[.]com

URL

hostpenta[.]com/contacts
westlands[.]com/Web/Sites/hostpenta[.]com

IP (C&C)

217.115.113[.]181 (Irlanda)
216.176.180[.]188 (Seattle, Washington, Stati Uniti)
65.98.88[.]29 (Clifton, New York, Stati Uniti)
199.15.251[.]75 (Baltimore, Maryland, Stati Uniti)
216.176.180[.]181 (Seattle, Washington, Stati Uniti)

Nomi di file

InfoPyramid.accdb — database trovato su hostpenda[.]com contenenente i dati esfiltrati
hiwater.mrk
smtps.xml
graph.bak
tasks.xml
alerts.txt

Compilazione e stralci di informazioni relative al codice sorgente

Visual Studio (software usato per compilare "Eye Manager," questo sarebbe il nome del software di gestione)
Hangeron (modulo)
Mailfaker (modulo)
fHangeron.Menu.Web.vb (file)
m.Core.vb (file)
cEmailJob.vb (file)
mWakeUP.vb
ds1 (variabile)
ms1 (variabile)
dc1 (variabile)
ds2 (variabile)
ms2 (variabile)
dc2 (variabile)

Altre stringhe

MDaemon
MailDemon (interessante: un tecnico avrebbe usato "MailDaemon", salvo che non si tratti di un errore di trascrizione)
InfoPyramid
MN600–849590C695DFD9BF69481597241E-668C (chiave di licenza del componente .NET MailBee)
MN600–841597241E8D9BF6949590C695DF-774D (chiave di licenza del componente .NET MailBee)
MN600–3E3A3C593AD5BAF50F55A4ED60F0–385D (chiave di licenza del componente .NET MailBee)
MN600-AD58AF50F55A60E043E3A3C593ED-874A (chiave di licenza del componente .NET MailBee)
PCMDPWD (tiro a indovinare: PC Mail Daemon Password?)
WEBDECCERTPWDNFW.