Cos’è e come funziona “Eye Pyramid”, il malware che controllava migliaia di politici italiani

In questi giorni si parla molto di un operazione svolta dalla polizia postale che ha individuato una centrale di CYBERSPIONAGGIO in danno di istituzioni pubbliche, pubbliche amministrazioni, studi professionali, personaggi politici molto in vista nel nostro paese ed imprenditori di rilievo nazionale

Sono stati arrestati, nell’ambito di questa operazione, un ingegnere nucleare di 45 anni e la sorella, entrambi residenti a londra ma domiciliati a roma, molto conosciuti nell’ambito dell’alta finanza capitolina

Eye Piramid – il malware

Si chiamano malware, abbreviazione che sta per malicious software. Tra nostre pagine ne abbiamo spesso parlato. Sono dei software dannosi che riescono ad “aprire” le protezioni dei computer ed ad insediarsi al loro interno

Questo malware, nello specifico, ha consentito di entrare a queste persone negli account di posta elettronica di 18.237 tra politici, banchieri, e rappresentati delle istituzioni italiane. Conosciuto dal 2008, ha cambiato spesso forma per resistere ai sistemi di sicurezza informatica.

E’ una sorta di programma che veniva installato all’interno del computer all’insaputa dell’utente che lo apriva e che da quel momento in poi consentiva di controllarlo da remoto

Come si veniva infettati?

Anche di quest’argomento ne abbiamo parlato varie volte. Il metodo più usato e più semplice è quello della mail. Secondo la ricostruzione fatta dagli inquirenti la mail infetta in questione proveniva da uno studio di avvocati(farlocco ovviamente) in cui si chiedeva di scaricare un file Pdf contenuto in allegato. Una fattura, nel caso specifico.

All’interno di questo file PDF, in realtà, era contenuto il codice malevolo. Appena veniva aperto il file dall’ignaro utente, l’infezione del computer era già avvenuta

Insomma, di episodi simili ne abbiamo parlato varie volte ed in ambiti diversi.

Cosa fanno questi malware una volta installati?

Dipende da cosa ha deciso lo sviluppatore di fargli fare. In alcuni casi da noi documentati in passato il malware provvedeva a criptare tutti i file degli utenti (doc, excel, pdf) salvo poi richiedere un riscatto in denaro (in bitcoin per la precisione). Stiamo parlando del cosiddetto malware ransomware di cui certamente avrete sentito parlare

Nel caso specifico, invece, Eye Piramid entrava nelle caselle di posta per leggere i dati contenuti nelle email, copiarli e inviarli all’esterno verso dei server

Di Eye Pyramid, come di centinaia di altri strumenti simili di spionaggio acquistabili anche nel deep web, ce ne sono molti. Nel senso che il malware in questione, pur noto da diversi anni, viene di volta in volta aggiornato, modificato e adattato alle singole operazioni per schivare i sistemi di sicurezza.

Il suo codice viene riscritto per mantenere intatte le attività di base – scandagliare, copiare e inoltrare i contenuti richiesti della macchina controllata – ma camuffare il suo “aspetto”.



Ti potrebbe interessare:


Reply