Kaspersky Lab ha analizzato gli attacchi condotti dai fratelli Occhionero “contro politici e altri personaggi di spicco del panorama italiano, identificando 18 campioni legati al malware EyePyramid e creati per la maggior parte tra il 2014 e il 2015″ come sottolineano da Kaspersky Lab.
“I sample – evidenziano da Kaspersky Lab – hanno elevate capacità di esfiltrazione e inviano i dati rubati via mail, WebDAV e ftp. Una grande quantità di informazioni è stata raccolta dalle macchine delle vittime, effettuando l’upload sul server di Comando e Controllo. Il malware non è sofisticato e non sembra possedere particolari funzionalità che potrebbero collegarlo a ProjectSauron” sottolineano gli esperti di Kaspersky Lab, che sono quindi convinti che non sia legato a questa APT.
Secondo le statistiche dell’azienda, “il malware è stato attualmente fermato su circa 16 computer, 11 dei quali sono situati in Italia” ed aggiungono:
– ” Sebbene il malware EyePyramid usato dai due sospettati non sia né sofisticato, né difficile da rilevare, la loro operazione ha colpito con successo numerose vittime, tra cui persone di rilievo, rubando decine di gigabyte di dati.
– In generale, l’operazione aveva un’OPSEC (operational security) molto bassa; i sospettati usavano per gli attacchi indirizzi IP collegati alla loro azienda, discutevano delle vittime durante chiamate telefoniche e via WhatsApp e, una volta scoperti, hanno provato a cancellare tutte le prove.
– Questo indica che non si tratta di esperti del campo ma di semplici amatori, che tuttavia sono riusciti a rubare quantità significative di dati alle loro vittime.
– Come visto in altre operazioni di cyber spionaggio conosciute, non è necessario che gli hacker usino malware, rootkit o zero-day di alto profilo per condurre campagne di cyber spionaggio di lunga durata. Il fatto che i due sospettati – Giulio e Francesca Maria Occhionero – abbiano condotto questa operazione per diversi anni prima di essere scoperti è forse la cosa più sorprendente”.
“Le soluzioni Kaspersky Lab – concludono gli esperti dell'azienda – rilevano la maggior parte dei campioni con i seguenti nomi:
Trojan-Downloader.MSIL.Agent.asi
Trojan-Downloader.MSIL.Agent.axx
Trojan-Dropper.Win32.Demp.fly
Trojan-Dropper.Win32.Injector.pxn
Trojan-Dropper.Win32.Injector.xcn
Trojan-PSW.Win32.Ruftar.bael
Trojan.MSIL.Agent.fdww
Trojan.Win32.AntiAV.choz
Trojan.Win32.AntiAV.ciok
Trojan.Win32.AntiAV.ciyk
Virus.Win32.PolyRansom.k
not-a-virus:PSWTool.Win32.NetPass.aku “
la Redazione
