Scandalo cyberspionaggio: un'esperto informatico ci spiega che cos'è "Eyepiramide"

di Angelo Barraco

 

Roma – Pochi giorni fa è scoppiata una bufera sul cyberspionaggio e sarebbero stati violati gli account e dati personali di politici di spicco, di massimi esponenti delle istituzioni, imprenditori e persino dell’ex presidente del Consiglio Matteo Renzi. Una vicenda che ha travolto l’intera nazione e che ha portato all’arresto di Giulio Occhionero, ingegnere nucleare di 45 anni e Francesca Maria Occhionero, la sorella. I due fratelli sono stati interrogati e si sono fermamente difesi: “Non abbiamo mai rubato dati né svolto attività di spionaggio” aggiungendo “Gli indirizzi mail sono pubblici e alla portata di tutti e non c'è alcuna prova di sottrazione di dati da parte nostra”. I reati contestati ai due soggetti sono:  procacciamento di notizie concernenti la sicurezza dello Stato, accesso abusivo a sistema informatico aggravato ed intercettazione illecita di comunicazioni informatiche e telematiche. Dalle indagini svolte dal Cnaipic si è appurato che i due soggetti utilizzavano una rete di computer (botnet) che al loro interno contenevano un malware denominato “Eyepyramid”, che avrebbe dato loro la possibilità di acquisire notizie riservate di svariati soggetti. La Polizia ha inoltre appurato che vi è stato un tentativo di accesso alla posta elettronica dell’ex Presidente del Consiglio Matteo Renzi, di Mario Monti e di Mario Draghi. Un’inchiesta che avuto il suo incipit a seguito di una segnalazione di una email giunta ad un’amministrazione di spicco che conteneva il sopracitato virus Eyepyramid. Da questo elemento precipuo gli inquirenti hanno avviato le attività investigative che hanno condotto direttamente ai due soggetti. Sarebbero stati inoltre spiati gli account di Fabrizio Saccomanni, ex Governatore della Banca d’Italia; Piero Fassino, Mario Canzio, Paolo Bonaiuti, Ignazio La Russa, Fabrizio Cicchitto, Vincenzo Fortunato. I fratelli Occhionero disponevano di un database con un elenco di 18.327 username, e 1.793 di essi avevano una  password ed erano suddivise in 122 categorie e denominate “Nick”. Ma che cos’è Eyepiramide?  Come funzione? Lo spiega in esclusiva per L’Osservatore D’Italia Fabio Calvani,  Responsabile divisione informatica del Crime Analysts Team ; Docente in qualità di esperto in data recovery  presso Univ.Niccolò Cusano ; Amministratore Unico ALMAEL SECURITY , vice presidente dell’associazione Culturale MAVEL.

 

“E’ notizia di pochi giorni , viene scoperto un sistema di monitoraggio di email appartenenti a personaggi pubblici , politici e chi più ne ha più ne metta . Che cosa è EYEPIRAMIDE ( occhio della piramide ) , è un software maligno ( malware ) che si installa sui supporti informatici , quali pc , tablet e cellulari , dei malcapitati presi di mira . Come funziona ? Molto semplice , da una mail inviata , spesso con indirizzo mittente a noi conosciuto , all’interno della quale troviamo un allegato , che possa essere un file PDF una file ZIP o una foto formato JPEG . Aprendo questo file il malware inizia ad installarsi nel nostro supporto informatico , ed il gioco è fatto . Da quel momento siamo nelle mani del malfattore , avrà accesso a tutte le nostre informazioni che abbiamo riportato sul nostro supporto informatico , avrà accesso a nostra insaputa alla telecamera e al microfono dello stesso .E’ possibile ora immaginare di quali conseguenze si possano avere . Ora il sistema di spionaggio scoperto dalle nostre Forze dell’ Ordine , è un sistema molto più complesso di come descritto sopra , in quanto si tratta di un sistema assai più complesso nella sua architettura , e atto non a trafugare i nostri codici di accesso dei nostri conti correnti , ma bensì a trafugare informazioni sensibili sia per la sicurezza dello stato , che informazioni sensibili atte a ricattare i malcapitati del gesto . Infatti qui si parla di un sistema organizzato tecnologicamente assai bene , che prevede un cospicuo investimento in denaro .Infatti come riportato dalle notizie si tratta di un sistema BOTNET  , che altro non è  che una rete formata da dispositivi informatici collegati ad internet  e infettati da malware, controllata da un'unica entità, il botmaster. A causa di falle nella sicurezza  o per mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, i dispositivi vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. I controllori della botnet possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo distributed denial of service   (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali. I dispositivi che compongono la botnet sono chiamati bot (da roBOT) o zombie . E’ chiaro che questo tipo di architettura nasce con scopi atti  trafugare notizie sensibili sia su persone che organizzazioni statali .

Di seguito una breve descrizione dell’architettura botnet , dei suoi usi legali e illegali e delle sue peculiarità tecniche . 

Applicazioni legali

Le botnet legali sono usati per il calcolo distribuito che è un campo dell'informatica che studia sistemi distribuiti. Un sistema distribuito è un sistema software in cui i componenti si trovano su computer in rete tali che per comunicare e coordinare le loro azioni si passano messaggi. I componenti interagiscono tra loro per raggiungere un obiettivo comune. Tre caratteristiche significative dei sistemi distribuiti sono: concorrenza dei componenti, la mancanza di un orologio globale, e fallimento indipendente dei componenti. il C&C può essere presente nel calcolo distribuito, ma nessun computer zombie è presente in questo tipo di sistema.

 

Applicazioni illegali

Le botnet a volte compromettono i computer in cui le difese di sicurezza sono state violate e il controllo è ceduto a terzi. Ogni dispositivo compromesso, noto come "bot", viene creato quando un computer viene penetrato da software malware (malicious software). Il controllore di una botnet è in grado di dirigere le attività di questi computer compromessi attraverso canali di comunicazione formati da protocolli di rete basati su standard, come IRC e Hypertext Transfer Protocol (HTTP). Le botnet sono sempre affittate da criminali informatici per una varietà di scopi.

 

Ora tutto quello detto in precedenza fa capire perfettamente due cose :

La prima , quando ci arrivano mail che reputiamo “ strane “ è buona regola cestinarle immediatamente , non facciamoci prendere dalla curiosità e cerchiamo sempre di essere “ connessi “ su quello che stiamo facendo. La seconda , ma non meno importante , è che Internet è il mezzo o sistema meno DEMOCRATICO esistente oggi".