Due fratelli, Giulio e Francesca Maria Occhionero, avevano messo sotto controllo informatico Renzi, Draghi, Monti ed altre personalità per rivenderne dati e informazioni
Le forze dell’ordine italiane hanno individuato una vera e propria centrale di sorveglianza che negli anni aveva messo sotto controllo esponenti di spicco delle istituzioni e dell’imprenditoria.
Molti i nomi noti tra le vittime dell’attività di spionaggio informatico emersa nel corso dell’inchiesta ‘Eye Pyramid,’ tra essi Mario Draghi, Matteo Renzi e Mario Monti.
Da anni, due fratelli Giulio (45) e Francesca Maria Occhionero (49) utilizzavano lo strumento informatico per controllare numerosi esponenti di spicco dei del nostro paese. I due sono stati arrestati dalla Polizia Postale con l’accusa di “procacciamento di notizie concernenti la sicurezza dello Stato; accesso abusivo a sistema informatico; e intercettazione illecita di comunicazioni informatiche”.
I sospetti avevano preso di mira le informazioni custodite nei sistemi un gran numero di persone in settori strategici del nostro paese, dall’ambito militare a quello politico.
Dal 2011 all’agosto del 2016, i fratelli Occhionero hanno attaccato 18.327 account di posta, per 1793 di essi sono riusciti a rubare le credenziali di accesso e quindi ad accedere ai dati delle vittime.
“In molti casi i sistemi informatici aggrediti sono certamente di interesse militare o relativi all’ordine e sicurezza pubblica o, comunque, di interesse pubblico” spiega il Giudice per le indagini Preliminari.
I due operavano con l’intento di acquisire informazioni per trarre profitto per se o per individui ed organizzazioni ancora da chiarire.
Accedendo alle caselle di posta delle vittime i due trafugavano informazioni sensibili che alimentavano quindi i dossier che redigevano su autorità dello Stato, politici, avvocati, imprenditori, ed esponenti delle principali logge massoniche.
Nella lista degli spiati ci sono anche i nomi di Piero Fassino, Daniele Capezzone, Ignazio La Russa e Vincenzo Scotti, Alfonso Papa, Walter Ferrara, Paolo Bonaiuti, Michela Brambilla, Luca Sbardella, Fabrizio Cicchitto, Vincenzo Fortunato, Mario Canzio, il cardinale Gianfranco Ravasi, Paolo Poletti della Gdf.
Chi sono i due sospetti e come operavano?
Contrariamente a quanto si possa pensare i sue sono molto noti negli ambienti dell’alta finanza ma pressoché sconosciuti agli ambienti della cyber security italiana.
Entrambi residenti a Londra ma domiciliati a Roma, i due fratelli sono titolari della Westland Securities, una società di consulenza finanziaria.
Giulio, ingegnere nucleare, viene descritto come una persona di cultura elevata addentro agli ambienti della massoneria italiana. L’ordinanza conferma la sua appartenenza ad una specifica loggia massonica della Capitale.
Proprio gli esponenti della medesima loggia sono oggetto di interesse di Occhionero, il quale aveva messo i suoi fratelli massoni sotto stretto controllo per giochi di potere all’interno del Grande Oriente d’Italia. Tra le vittime il Gran Maestro Stefano Bisi ed altri membri di logge del GOI del Lazio.
Ai due sospetti viene contestato anche il reato di “accesso abusivo a sistema informatico/telematico,” azione perpetrata attraverso l’uso di un malware di cui discuteremo a breve.
L’indagine del Cnaipic e il malware che evolve
Gli esperti del Centro nazionale anticrimine informatico – Cnaipic del Servizio Polizia postale e delle comunicazioni hanno constatato che i due utilizzavano una versione del malware EyePyramid per compromettere i sistemi delle vittime ed esflitrare un gran quantitativo di informazioni. I due fratelli riuscivano così a trafugare email, documenti, cronologie di navigazione Internet e molto altro. Dalle indagini è emerso che il codice malevolo utilizzato dai sospetti si è evoluto nel tempo. Nuove funzionalità sono state aggiunte come la possibilità di geo-localizzare le vittime a partire dal relativo IP oppure nuove forme di controllo remoto del malware sul PC della vittima.
I due quindi potevano contare sul supporto di qualcuno che curava l’evoluzione del malware affinché potesse sfuggire alla rilevazione delle principali soluzioni di sicurezza delle vittime.
Le indagini sono partite a seguito della segnalazione di un addetto alla sicurezza dell’Enav, avvocato Francesco Di Maio, il quale è stato insospettito da una mail ricevuta dal professionista romano il professor Ernesto Staiano, con il quale tuttavia l’Ente non aveva rapporto alcuno. La mail è risultata poi esser stata inviata attraverso la rete di anonimizzazione Tor.
Il messaggio conteneva un versione del malware EyePiramid, uno spyware che veniva controllato dagli attaccanti attraverso dei server (Command and Control) locati negli Stati Uniti.
Riassumendo i due fratelli operavano una botnet di macchine infette dal malware EyePyramid, un codice malevolo appartenente alla famiglia dei Remote Access Tool (RAT) in uso per il controllo di PC infetti.
Il malware in questione non è una novità nel panorama delle minacce informatica, trattasi di un codice malevolo scoperto nel 2008.
Come si nasconde il malware Eye-piramid
Vi starete chiedendo come sia possibile che un malware così datato possa eludere il controllo dei principali sistemi antivirus. Gli sviluppatori di malware usano implementare tecniche per offuscamento del codice, quindi partendo da un malware noto è possibile dargli nuova veste sviluppando attorno ad esso un livello supplementare che ne maschera le fattezze ai sistemi antivirus rendendolo irriconoscibile.
Resta a questo punto da chiarire quali informazioni sensibili degli organi di stato siano stati trafugati e chi ne abbia poi avuto acceso.
Personalmente ritengo che i fratelli Occhionero siano parte di una ampia organizzazione che poteva contare anche su una rete di esperti informatici che hanno supportato i due nell’evoluzione dei propri strumenti di spionaggio.
A questo punto non ci resta che sperare in qualche errore compiuto dagli hacker e nella capacità investigativa della nostra Polizia Postale.
Vi lascio con una curiosità, qualche collega ipotizza un legame tra il malware utilizzato dai due fratelli e le attività di spionaggio condotte dall’NSA. L’Agenzia Americana potrebbe avere a sua volta hackerato botnet come quella utilizzata dai due fratelli per esfiltrare documenti dalle autorità Italiane. Queste per ora sono solo esercizi di fantasia, forse frutto della stanchezza di una lunga giornata … ma talvolta la realtà supera la finzione.