Due persone sono state arrestate ieri a Roma con l’accusa di avere raccolto dati sensibili di politici, funzionari statali, personalità e istituzioni tramite spionaggio informatico. Tra questi anche gli ex premier Matteo Renzi e Mario Monti, il governatore della Bce Mario Draghi, diversi politici, alcuni ex ministri, enti come l’Enav e la Regione Lazio, vertici della Guardia di Finanza e prelati tra cui monsignor Gianfranco Ravasi. Giulio e Francesca Maria Occhionero, i due fratelli arrestati, avrebbero violato sistemi informatici per ottenere notizie sulla sicurezza dello Stato e compiuto attività di dossieraggi nei confronti di cariche istituzionali.

L’indagine, denominata “Eye Piramid” è iniziata otto mesi fa. Gli account violati sarebbero circa 18mila, in almeno 5-6 anni di “lavoro”, e tutte le informazioni sensibili hackerate sarebbero custodite su impianti informatici statunitensi, sequestrati dalla Polizia Postale, grazie alla collaborazione della Cyber Division dell’Fbi. Una delle conseguenze dell’indagine è stata la rimozione – decisa dal capo della polizia Gabrielli – del direttore della polizia postale Roberto Di Legami, per divergenze con il vertice del corpo. Stando ad alcune indiscrezioni, il motivo della decisione sarebbe che non ha informato dell’inchiesta lo stesso Gabrielli. 

Gli account di posta violati sono tutti quelli ufficiali di enti specifici come @bancaditalia.it, @esteri.it, @pdl.it, @unibocconi.it, tesoro.it, @gdf.it @partitodemocratico.it. Migliaia di indirizzi email che possono essere stati hackerati o cercando di colpire un account alla volta oppure, ipotesi più probabile, infettando direttamente l’account degli amministratori dei vari domini. Una volta colpito quello, è possibile a chi ha violato l’account – disponendo dei privilegi dell’amministratore del sistema – di estendere il proprio controllo a tutti gli indirizzi con quel dominio. 

I malware sono dei software in grado di penetrare nelle caselle di posta, leggere i dati contenuti nelle email, copiarli e inviarli all’esterno agli altri indirizzi della rubrica del malcapitato. I dati vengono inviati dagli indirizzi di posta specifici a cui hanno accesso gli autori dell’attacco. Purtroppo è molto difficile individuarli e neutralizzarli perché non lasciano traccia nelle mail inviate. Un software come EyePyramid è costituito da una parte “fissa” che consente di leggere, copiare e inoltrare i dati e da una “parte variabile” che si adegua ai sistemi di sicurezza sviluppati nel tempo. Dalle indagini è emerso che il codice malevolo utilizzato dai due fratelli si è evoluto nel tempo e nuove funzionalità sono state aggiunte come la possibilità di geo-localizzare le vittime a partire dal relativo IP oppure nuove forme di controllo remoto del malware sul computer della vittima. I due quindi potevano contare sulla complicità di qualcuno che curava l’evoluzione del malware affinché potesse sfuggire alla rilevazione delle principali soluzioni di sicurezza delle vittime. Modificando quel codice è possibile renderlo sempre aggiornato e praticamente invulnerabile.

Il consiglio degli esperti in questi casi è quello di guardare sempre con sospetto le email in cui si chiede di scaricare un file. Certo è importante anche aggiornare regolarmente il proprio antivirus: operazione necessaria ma non sufficiente in quanto il malware può mutare e attaccare anche una macchina aggiornata. 

(com.unica, 11 gennaio 2017)