Eye Pyramid, il commento di Kaspersky Lab

I laboratori di Kasperky analizzano gli ultimi attacchi informatici che hanno coinvolto politici e altri personaggi di spicco italiani.

Kaspersky Lab ha analizzato gli attacchi informatici condotti dai fratelli Occhionero contro politici e altri personaggi di spicco del panorama italiano, identificando 18 campioni legati al malware Eye Pyramid e creati per la maggior parte tra il 2014 e il 2015. I sample hanno elevate capacità di esfiltrazione e inviano i dati rubati via mail, WebDAV e ftp. I criminali hanno inoltre raccolto una grande quantità di informazioni dalle macchine delle vittime, effettuando l’upload sul server di Comando e Controllo. Il malware non è sofisticato e non sembra possedere particolari funzionalità che potrebbero collegarlo a ProjectSauron.
Gli esperti di Kaspersky Lab sono quindi convinti che non sia legato a questa APT. Secondo le statistiche dell’azienda, il malware è stato attualmente fermato su circa 16 computer, 11 dei quali sono situati in Italia.

Sebbene il malware Eye Pyramid usato dai due sospettati non sia né sofisticato, né difficile da rilevare, la loro operazione ha colpito con successo numerose vittime, tra cui persone di rilievo, rubando decine di gigabyte di dati.
In generale, l’operazione aveva un’OPSEC (operational security) molto bassa; i sospettati usavano per gli attacchi indirizzi IP collegati alla loro azienda, discutevano delle vittime durante chiamate telefoniche e via WhatsApp e, una volta scoperti, hanno provato a cancellare tutte le prove.
Questo indica che non si tratta di esperti del campo ma di semplici amatori, che tuttavia sono riusciti a rubare quantità significative di dati alle loro vittime.
Come visto in altre operazioni di cyber spionaggio conosciute, non è necessario che gli hacker usino malware, rootkit o zero-day di alto profilo per condurre campagne di cyber spionaggio di lunga durata. Il fatto che i due sospettati – Giulio e Francesca Maria Occhionero – abbiano condotto questa operazione per diversi anni prima di essere scoperti è forse la cosa più sorprendente.

Le soluzioni Kaspersky Lab rilevano la maggior parte dei campioni con i seguenti nomi:
Trojan-Downloader.MSIL.Agent.asi
Trojan-Downloader.MSIL.Agent.axx
Trojan-Dropper.Win32.Demp.fly
Trojan-Dropper.Win32.Injector.pxn
Trojan-Dropper.Win32.Injector.xcnTrojan-PSW.Win32.Ruftar.bael
Trojan.MSIL.Agent.fdww
Trojan.Win32.AntiAV.choz
Trojan.Win32.AntiAV.ciok
Trojan.Win32.AntiAV.ciyk
Virus.Win32.PolyRansom.k
not-a-virus:PSWTool.Win32.NetPass.aku