Trend Micro ha pubblicato una prima analisi a caldo sull’operazione EyePyramid, a cura dell’italiano Federico Maggi, Senior Threat Researcher.
L’analisi si basa sull’Ordinanza di Custodia Cautelare del GIP dott. M. P. Tomaselli, oltre a una serie di analisi condotte dal ricercatore su fonti pubbliche, e cerca di limitarsi alle questioni tecnicamente rilevanti, tralasciando informazioni personali come nomi e cognomi di facile reperibilità.
EyePyramid ha portato al furto di informazioni riservate, tra le quali oltre 18.000 username, 1700 password e diversi dati digitati via tastiera (rubati tramite un keylogger). In totale, si stimano circa di 87GB di dati, che ovviamente vanno oltre quanto elencato qui sopra.
Il tutto è partito nel 2012. Precedenti versioni del malware impiegato (di origini sconosciute, salvo speculazioni) sembrano essere state impiegate nel 2008, 2010, 2011 e 2014 in diverse campagne di spear-phishing. Le informazioni riservate oggetto di furto sono riferite a professionisti, privati e pubblici, operanti in settori chiave dello Stato.
I domini degli indirizzi email sono:
- enav.it
- istruzione.it
- gdf.it
- bancaditalia.it
- camera.it
- senato.it
- esteri.it
- tesoro.it
- finanze.it
- interno.it
- istut.it
- matteorenzi.it
- partitodemocratico.it
- pdl.it
- cisl.it
- comune.roma.it
- regione.campania.it
- regione.lombardia.it
- unibocconi.it
Gli aggressori hanno seguito questi passi:
1. Preparano (meglio, riutilizzano una versione modificata di) un malware che sembra fare hooking delle API di MailBee.NET.dll (una libreria .NET usata per creare applicazioni di posta elettronica) per intercettare i dati gestiti dai programmi di posta elettronica. In particolare, la chiave di licenza del componente MailBee sarebbe (? = illeggibile) MN600-D8102?501003102110C5114F1?18–0E8CI
2. Compromettono (non si sa bene come) alcune caselle email (sono almeno 15 quelle note), in particolare caselle appartenenti a vari studi legali
3. Si collegano alla rete Tor (per quanto informazione poco utile, l’unico exit node noto è 37.49.226[.]236)
4. Attraverso un mail server (tra quelli noti c’è il mail server di Aruba 62.149.158[.]90) inviano delle mail alle vittime usando come mittente un indirizzo email delle caselle compromesse, contenenti un allegato malevolo (c’è chi sostiene che si tratti di un PDF: fonte non certa)
5. Attendono che le vittime aprano gli allegati, avviando quindi il malware
6. Il malware invia i dati sottratti verso diverse caselle di posta gestite dall’aggressore
Ulteriori dettagli saranno resi noti nei prossimi giorni.