Eye Pyramid: cos’è e come funziona il virus del cyberspionaggio

di Alessandro Camilli
Pubblicato il 11 Gennaio 2017 - 14:26 OLTRE 6 MESI FA
Eye Pyramid: cos'è e come funziona il virus del cyberspionaggio

Eye Pyramid: cos’è e come funziona il virus del cyberspionaggio

ROMA – Il sistema è fondamentalmente lo stesso ideato da Ulisse circa tremila anni fa: il Cavallo di Troia. Ieri i greci introdussero così, all’interno della città governata da Priamo, i loro guerrieri; e così oggi i fratelli Occhionero sono entrati nelle mail e nei profili digitali di quasi 20mila persone: con un finto allegato o un link che, una volta aperto dalla vittima, prende in possesso il computer del malcapitato senza che questi se ne renda conto. Rubandone dati e informazioni.

“Il metodo utilizzato dagli hacker dell’operazione Eye Pyramid è un malware (software malevolo) che in gergo tecnico si chiama APT (Advanced Persistent Threat): un programma che installato su un computer consente di controllarlo da remoto – scrive Paolo Ottolina sul Corriere della Sera -. Software di questo tipo sono in circolazione da anni, almeno dal 2008: il ‘core’ di questi malware resta lo stesso ma gli hacker aggiornano via via le caratteristiche necessarie a bypassare i sistemi di sicurezza”.

Un virus digitale che si aggiorna e modifica esattamente come un virus naturale: modificando di stagione in stagione e di generazione in generazione le proprie caratteristiche, mantenendo però la sua capacità di infettare. Il funzionamento di questo tipo di virus è tutto sommato semplice: l’infezione avviene solitamente tramite una email che contiene un allegato. Allegato che ha l’apparenza di un documento ma in verità è il malware che si mette in azione quando si cerca di aprire il file. Gli allegati che come il Cavallo di Troia contengono al loro interno l’aggressore, si presentano di solito come finti pdf, o come file Office (Word, Excel, Powerpoint). Altre volte invece il ‘nemico’ viene portato dentro i computer da infettare attraverso un semplice link: ci si clicca, e il malware s’installa prendendo il controllo del pc.

Esiste anche la possibilità di essere infettati da una chiavetta usb con al suo interno il programma-spia, ma è un contagio più difficile perché prevede il contatto fisico. E quando, come nel caso degli Occhionero, si vogliono spiare ventimila persone tra cui capi di governo, banchieri e altri nomi noti, una mail è certamente la via più semplice. Una volta infettato il computer preso di mira, il malware legge le caselle email, copia messaggi e allegati e li manda agli indirizzi di posta di chi ha effettuato l’attacco. Senza lasciare nella posta inviata traccia di questo trasferimento di dati. Se il terminale infettato fa parte di una rete come quella che posseggono le aziende, l’hacker può muoversi nel network dell’organizzazione e arrivare anche a compromettere l’account dell’amministratore di sistema, cosa che permette poi, a cascata, di penetrare in tutti i profili utente dell’azienda o ente attaccato. Se il funzionamento logico di questo tipo di virus è piuttosto semplice, meno semplice ne è la realizzazione e soprattutto l’utilizzo su una scala ampia come quella svelata con l’operazione Eye Pyramid.

“Quando gli spiati sono quasi 20 mila persone siamo di fronte a un’operazione su scala industriale e far restare invisibile il malware per lungo tempo presuppone capacità di un certo livello – scrive ancora Ottolina -. Cosa che secondo alcuni esperti di sicurezza è indizio del fatto che i fratelli Occhionero erano solo un ingranaggio di una macchina più complessa e con persone assai più esperte dietro di loro”.