Eye Pyramid, il malware che spiava le PA italiane

Eye piramid, il malware che spiava le PA italiane
18 gennaio 2017
0 commenti

Ascoltando le notizie di attualità di queste prime settimane del 2017, si ha come la sensazione di essere tornati agli anni della Guerra Fredda: spionaggio, attacchi informatici, censura e oscurantismo sono alcune delle notizie che si susseguono sempre più frequentemente sulle pagine dei giornali.

Anche in Italia, pochi giorni fa, è esploso il caso Eye Pyramid: un malware ideato da due fratelli titolari di una società di consulenza informatica, che ha “spiato” numerosi personaggi appartenenti alla pubblica amministrazione e alle Istituzioni, con lo scopo di rubare e conservare informazioni personali e dati sensibili.

 

Le origini del malware

Eye Pyramid è un malware già conosciuto nell’ambiente informatico; creato nel 2008, è già stato utilizzato in passato per altri attacchi informatici. È un malware di tipo Rat (Remote access tool) cioè consente, una volta installato sul pc, il pieno controllo da remoto del dispositivo infettato. Questo malware è particolarmente subdolo in quanto non consente solo lo spionaggio e la sottrazione dei dati, ma permettere all’hacker di eseguire screenshot mentre l’utente sta utilizzando il dispositivo, senza che questi se ne accorga.

Il malware è stato scoperto grazie alla denuncia di un funzionario Enav, che vedendosi recapitare da un ufficio legale una fattura per una competenza che non ricordava aver richiesto, ha provveduto a inoltrare la mail al Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale. L’analisi ha riscontrato all’interno della mail in questione un pdf contenente il codice malevolo, da qui, tramite un processo di reverse engineering si è riusciti a risalire al server di riferimento del malware sul quale venivano memorizzati i file relativi alla configurazione delle macchine compromesse, cioè la botnet occulta.  

 

Come funziona Eye Pyramid

Da quello che si sa finora, il codice utilizzato per Eye Pyramid è il codice proveniente – e modificato – da un malware che oltre a sfruttare il protocollo di trasmissione dei dati convenzionale, sfrutta le API MailBee.NET.dll, una libreria .NET utilizzata per la creazione di software di posta elettronica.
Grazie all’utilizzo di una delle chiavi di licenza della libreria (nello specifico (? = uknownw) MN600-D8102?501003102110C5114F1?18-0E8CI) i due fratelli sono riusciti a compromettere circa 15 account di prestigiosi studi associati, utilizzati poi per l’invio di email contenenti il malware.
Dato che la maggior parte degli attacchi malware si basa sulla fiducia che l’utente ha nei confronti del titolare delle comunicazioni, era fondamentale prendere possesso di indirizzi da cui, verosimilmente, questi documenti venissero inviati.

Le mail venivano poi inviate tramite un server mail Aruba (MX 62.149.158[.]90), con allegato il PDF contenente il malware: era solo al momento dell’apertura del PDF che veniva eseguito il codice auto-installante aprendo di fatto la possibilità ai due fratelli di filtrare e copiare tutte le comunicazioni e i dati presenti sul pc infettato.

 

Come tutelarsi da Eye Pyramid e altri malware di questo tipo

La gravità di quanto accaduto ha riportato l’attenzione sul tema della sicurezza e dell’educazione degli internauti; se è vero che da un lato vi è stata molto ingenuità da parte degli utenti coinvolti nell’aprire le mail in questione, è emersa anche la carenza di controllo da parte degli organi competenti, che dopo le prime avvisaglie di attacco hanno  valutato il problema come di scarsa entità, con i risultati che oggi possiamo constatare.

Ma è possibile quindi tutelarsi da questa tipologia di attacco e più in generale da tecniche di furto di dati? Anche se il rischio non si può azzerare del tutto, si può quantomeno contenere, utilizzando alcuni piccoli accorgimenti:

  • Attenzione alle email che vi chiedono dati personali

Come abbiamo detto, i sistemi di phishing si basano sulla fiducia dei consumatori e delle aziende. Anche se molto simili alle originali, bisogna diffidare di quelle mail che richiedono dati sensibili (come ad esempio username, PIN e password). Molti istituti di credito ad esempio, consigliano di non aprire mail provenienti da banche o finanziarie, almeno che non siano in risposta a una richiesta dell’utente.

  • Non cedere alle intimidazioni o alla richiesta di sblocco di account

Spesso i malintenzionati utilizzano minacce per costringere i malcapitati a fornire loro dati personali. Si è diffusa negli ultimi anni l’usanza da parte degli hacker di inviare comunicazioni contenenti fantomatiche procedure per sbloccare o produrre upgrade degli account con conseguente installazione di un malware in grado di criptare il vostro pc o dispositivo. Nel caso in cui dobbiate effettuare un upgrade o modifiche dei vostri profili, non rispondete a comunicazione email ma contattate direttamente il customer care o l’ufficio commerciale.  

  • Fare attenzione alle privacy policy

La maggior parte delle comunicazioni reali hanno sempre nel loro footer un collegamento a una pagina contenente una policy sulla privacy, le comunicazioni truffa di solito vengono consegnate perché il vostro indirizzo email – o meglio il database in cui è contenuto – è stato venduto a terze parti, anche senza il vostro consenso. È bene quindi, quando si sottoscrive un contratto o una newsletter, non dare l’autorizzazione ai fini commerciali a società diverse da quella a cui si è richiesto il servizio.

  • Utilizzare un buon software anti-phishing

Per proteggervi a livello locale potete installare un software anti-phishing, la maggior parte degli antivirus presenti sul mercato contiene tool che scansionano in tempo reale le mail ricevute per individuare eventuali minacce.  

  • Verificare la presenza dei certificati SSL

All’interno delle comunicazioni fraudolente sono spesso presenti dei link che conducono a siti esterni o siti che contengono eseguibili da scaricare. Se volete verificare un link contenuto in queste email, è quindi preferibile digitare nella barra del browser il collegamento. Un buon indicatore per capire se il sito è sicuro è ad esempio la presenza di un certificato SSL e di una connessione con protocollo HTTPS.

 

Le soluzioni neen per la tua sicurezza

Scegli neen come partner per la sicurezza del tuo sito web. L’emissione per i certificati più semplici avviene in pochi minuti e con verifica automatica, senza complicazioni cartacee e con il massimo livello di sicurezza (2048 bit digital signatures, fino a 256 bit encryption). Grazie alla partnership di neen con i più importanti enti certificatori come Comodo, Verisign Symantec eThawte, anche in caso di navigazione da parte degli utenti con browser minori o vecchie versioni, viene garantita la massima compatibilità.

Jessica  Ventura Social Media Manager