fratelli-occhionero
News

Cyberspionaggio: così i fratelli terribili spiavano conti e dati

Si fa sempre più forte l'ipotesi di furto di dati volto a operazioni speculative finanziarie. Ma chi c'è dietro di loro?

12 gennaio 2017 -  IL PUNTO - Giulio e Francesca Maria Occhionero, rispettivamente di 45 e 49 anni, sono i due fratelli indagati per la raccolta di file informatici con informazioni sensibili e private.

Sono oltre 18mila i dossier al centro dell'indagine della Procura romana. Riguardano dati riservati di Camera, Senato, ministeri dell'Interno, degli Esteri, del Tesoro, della Giustizia. Ma non solo.
Spiati anche gli account in rete di decine di personalità della politica e dell'economia, come gli ex presidenti del Consiglio Matteo Renzi e Mario Monti, ex ministri dell'Economia, l'ex Ragioniere dello Stato Mario Canzio. E poi Mario Draghi, presidente della Banca Centrale Europea.

→  LEGGI ANCHE: Spear phishing: come funziona la tecnica usata da Occhionero per spiare i politici

Il Gip di Roma, Maria Paola Tomaselli, ritiene che i fratelli Occhionero non siano gli unici attori della vicenda. Ci sono elementi che la collegano alle indagini della Procura di Napoli sulla P4, che ha portato al coinvolgimento di Luigi Bisignani.

Di più: Giulio Occhioni avrebbe sviluppato un malware informatico, EyePiramid, tarato proprio per spiare informazioni di tipo finanziario, praticamente invisibile alla maggior parte degli antivirus esistenti.

Perché
La domanda che si pongono gli inquirenti e gli osservatori è sul perché i due raccogliessero attraverso Eyepieramid questo materiale e con quali obiettivi.
Per ora emergono tre linee di interesse degli Occhionero nella loro "illecita attività di dossieraggio".
1) La teoria più accreditata è quella ipotizzata per prima da Fiorenza Sarzanini sul Corriere della Sera: l'intrusione nei sistemi dell'Enav del marzo 2016 quando era in atto la privatizzazione della società nazionale per l'assistenza al volo, indicherebbe la necessità di avere informazioni per portare a termine operazioni speculative di alta finanza evidentemente svolte anche nei confronti di altre società di Stato.
2) Il secondo livello, punta ad avere notizie "politiche" per attività lobbistiche che permettono di accrescere il potere di ricatto e influenza. Attività che Occhionero esercitava anche dentro la loggia massonica del Grande Oriente d'Italia alla quale è affiliato.
3) Il terzo livello riguarda il "sottobosco alimentato con la diffusione di segreti sulla vita privata delle vittime", da usare come arma di ricatto. Esattamente come era avvenuto nel caso della P3 e della P4.

La difesa
"Non abbiamo mai rubato dati né svolto attività di spionaggio. La mia attività è vendere software per il mondo finanziario e per il risk management". Si sono difesi così Giulio e Maria Francesca Occhionero nel corso dell'interrogatorio di garanzia mercoledì a Regina Coeli. "Gli indirizzi mail sono pubblici e alla portata di tutti e non c'è alcuna prova di sottrazione di dati da parte nostra".

"Francesca Maria Occhionero non era a conoscenza dell'attività del fratello. Sapeva certamente che era legato alla massoneria, ma questa è una cosa risaputa. In ogni caso non sapeva nulla di questa presunta attività di cyberspionaggio contestata dalla Procura", ha spiegato Roberto Bottacchiari, difensore della donna, al termine dell'interrogatorio.
"Lei non sa neppure usare il computer - ha aggiunto il penalista - tanto è vero che un giorno ha avuto bisogno di un tecnico per risolvere un problema informatico. Loro non hanno password, non hanno carpito dati altrui e non risultano a loro carico neppure tentativi di intrusione illecita".

Le indagini proseguono. Intanto il capo della Polizia Gabrielli ha rimosso e assegnato ad altro incarico il capo della Postale, Roberto Di Legami: tra i motivi anche l'aver sottovalutato la portata dell'indagine sullo spionaggio dei politici senza informare i vertici del Dipartimento di pubblica sicurezza.


-----

10 gennaio 2017 - IL PUNTO SULLA VICENDA - La Polizia italiana ha arrestato due fratelli accusati di essere autori e cervelli di una estesa attività di cyberspionaggio a danni di politici, istituzioni e personalità economiche e imprenditoriali italiani.

Gli arrestati, Giulio Occhionero, un ingegnere nucleare di 45 anni e la sorella Francesca Maria, di 49 anni, per anni avrebbero raccolto informazioni riservate e dati sensibili.

L'organizzazione, secondo gli investigatori, aveva immagazzinato le informazioni trafugate a istituzioni, pubbliche amministrazioni, studi professionali e imprenditori di livello nazionale in alcuni server sequestrati in Usa.

Tra i politici spiati, secondo le informazioni finora diffuse, ci sarebbero anche Matteo Renzi e Mario Draghi. Hackerati  e saccheggiati anche i siti della Banca d'Italia, della Camera e del Senato.

L'operazione della Polizia, battezzata EyePyramid (dal nome del malware usato per infettare i computer che così diventava uno strumento nelle mani degli spioni), ha permesso di far luce sui metodi dell'organizzazione che archiviava le informazioni catalogando i soggetti spiati. I politici, per esempio, erano rubricati sotto la sigla "POBU" (Politicians Business). Le indagini avrebbero delineato una struttura criminale articolata in diverse "scatole cinesi", nazionali e estere, usate come attività di copertura per "l'acquisizione, in via anonima, di servizi informatici all'estero".

Il Gip romano che ha emesso gli ordini di arresto, Maria Paola Tomaselli, ha giustificato il provvedimento con il concreto pericolo di fuga all'estero, proprio per le numerose attività oltre confine dell'organizzazione.

Le attività di indagine sono condotte dal Cnaipic (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) del Servizio Polizia Postale e delle Comunicazioni e coordinata dalla Procura della Repubblica di Roma.

Gli investigatori sono in piena attività di analisi dei dati raccolti dall'organizzazione che faceva capo ai due fratelli. Si tratterebbe di dati ottenuti con attacchi cyber di tipo Apt (Advanced persistent threat).

18mila nomi
Nel database dei fratelli ci sarebbero 18.327 gli username (di cui 1.793 corredate da password) catalogati in 122 categorie denominate "Nick" che indicano la tipologia di target (politica, affari, etc...) oppure le iniziali di nomi e cognomi. 

Quattro le categorie di"Nick" più significative:
→ "Eye", che raggruppa 144 diversi account usati per gestire la dropzone del malware (cioè lo spazio di memoria dove vengono inviati e raccolti i dati sottratti);
→  "Bros" che raggruppa 524 differenti account di posta elettronica relativi a 338 nominativi univoci, "verosimilmente appartenenti a membri della massoneria"; --> "Tabu" che raggruppa diversi account e password con dominio port.taranto.it (secondo fonti giornalistiche la società dei due arrestati ha fornito consulenze al governo Usa per una operazione commerciale per la costruzione di infrastrutture nel Porto di Taranto).
→  Infine la categoria "Pobu" (political e business) che contiene 674 account di cui 29 corredati da relativa password.
Tra gli account presenti nella lista alcuni con domini istituzionali come camera.it, esteri.it e giustizia.it, o riconducibili a importanti esponenti politici.

Ma come funzionava il sistema di spionaggio?
I due autori del grande furto di dati usavano una "botnet", una vasta rete di computer altrui "asserviti" infettandoli con il malware EyePyramid.

La coppia e' stata scoperta grazie allo stesso mezzo che ha usato per dare il via all'azione di cyberspionaggio, cioé una mail infetta. Eye Pyramid è un malware vecchio (risale al 2008) e non molto conosciuto, già usato in attacchi informatici mirati, che necessita di un aggiornamento tecnologico per poter operare negli anni.

È di tipo 'Rat' (Remote access tool) cioè consente una volta installato il pieno controllo da remoto del dispositivo infettato, non solo spiare dati ma anche fare screenshot. Impiega la botnet - che viene infettata col malware stesso e che ha consentito agli hacker di acquisire in maniera silenziosa le informazioni per poi riversarle all'interno di server localizzati negli Stati Uniti.
Un altro modo per la rete di cyberspionaggio di passare inosservata, poiché gli Usa sono uno dei paesi con più hosting in tutto il mondo. Come cercare un ago in un pagliaio.

Come è stato scoperto: la mail all'Enav
A svelare l'esistenza del malware e causare una sorta di effetto domino che ha portato ai due arresti è stata proprio una delle procedure che hanno determinato la diffusione del virus all'interno dei computer colpiti da Eye Pyramid: una mail indirizzata al responsabile di una importante infrastruttura nazionale, l'Enav, contenente appunto il malware.
La mail, ricevuta dal funzionario il 26 gennaio 2016, aveva come mittente uno studio legale con cui il dirigente non aveva mai avuto relazioni. Dopo un'analisi tecnica da parte di una società esterna, la mail è stata segnalata al Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale.

L'analisi ha riscontrato che alla mail era allegato un file contenente un malware diffuso in altre campagne di 'spear phishing', un tipo di phishing più sofisticato realizzato 'ad hoc' per particolari individui o società. Partendo dall'allegato infetto è stato individuato il server di riferimento per il malware Eye Pyramid sul quale erano memorizzati i file relativi alla configurazione delle macchine compromesse, cioè la botnet occulta.

La lunga lista degli spiati
La lista delle vittime dello spionaggio si allunga di minuto in minuto.

In essa anche anche due computer in uso ai collaboratori del cardinale Gianfranco Ravasi - dal 2007 presidente del Pontificio Consiglio della cultura, della Pontifica Commissione di archeologia sacra e del consiglio di coordinamento tra accademie pontificie.

cybersicurezza
iStock

I più letti

avatar-icon

Redazione