Una complessa attività di indagine denominata Eye Pyramid, condotta dal Cnaipic, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche del servizio Polizia Postale e delle Comunicazioni e coordinata dalla Procura della Repubblica di Roma, ha fatto luce su un esteso sistema di cyberspionaggio messo in piedi con attacchi informatici di tipoAPT (Advanced Persistent Threat).
L’invio di un messaggio di posta elettronica contenente un allegato malevolo è alla base della creazione di una vera e propria centrale di sorveglianza ai danni di numerose autorità politiche e militari di strategica importanza e di sistemi informatici utilizzati da Stato e altri enti pubblici come istruzione.it, gdf.it, bancaditalia.it, camera.it, senato.it, esteri.it, tesoro.it, finanze.it, interno.it.
A svelare l’esistenza del malware è stata proprio un’email indirizzata ad un amministratore di sistema di un’importante infrastruttura nazionale, al quale non è passata inosservata. L’email, dopo essere stata oggetto di analisi tecnica, è stata segnalata al Cnaipic, Centro nazionale anticrimine informatico della Polizia Postale.
Il messaggio di posta elettronica conteneva dunque un tipo di malware utilizzato generalmente per le campagne di spear phishing, ovvero phishing focalizzato su uno specifico obiettivo.
I protagonisti del cyberspionaggio si sono avvalsi dunque di una botnet, una vasta rete di computer creata infettando i dispositivi con un malware di tipo Rat (Remote access tool), che consente, una volta installato, il pieno controllo da remoto del dispositivo infetto e che avrebbe permesso dunque agli hacker per lungo tempo di acquisire in maniera silenziosa informazioni riservate per poi riversarle all’interno di server localizzati negli Stati Uniti.
A seguito di queste vicende di cyberspionaggio al centro della cronaca, la cui reale portata è tutt’altro che chiarita, il nostro team Cert sta operando le necessarie verifiche per escludere che le reti dei clienti siano state oggetto di violazione mediante utilizzo dello stesso malware.
Per quanti desiderino eseguire dei controlli sui propri PC Windows, mettiamo a disposizione uno script in VBS, di cui si può fare il download.
Dalla lettura dell’ordinanza di custodia cautelare predisposta dal GIP si possono infatti estrarre degli elementi utili ad eseguire dei controlli sui sistemi Windows. Il malware utilizzato si appoggia ad un componente commerciale di terze parti (MailBee.NET.dll prodotto dalla Afterlogic co.) per la comunicazione attraverso email.
Questo prodotto è licenziato e la stessa licenza che identifica univocamente il licenziatario è stata utilizzata a partire dalle prime infezioni del malware nel 2010, fino a dicembre 2015.
La chiave di licenza, nelle macchine infette, è registrata in una apposita sezione del registro di sistema. Essendo la chiave parzialmente nota attraverso la lettura dell’ordinanza del GIP (alcune parti non sono correttamente identificabili, a causa della bassa qualità della scansione), è facile verificarne la presenza nel registro. Da analisi già effettuate da altri malware analyst sono emerse altre chiavi di licenze potenzialmente coinvolte.
Per semplificare l’individuazione della chiave di licenza nel proprio PC, abbiamo dunque preparato un semplice script in VBS, che verifica l’eventuale presenza di una delle sottostringhe della chiave di licenza che, se rinvenute, costituiscono un forte indicatore dell’avvenuta infezione.
Dopo aver aperto il file .zip, al cui interno è presente un file con estensione .vbs, è sufficiente fare un doppio clic sopra.
Gli hash MD5 del file compresso e dello script all’interno sono i seguenti:
053fffd972019704756ee95d9f1e7287 *eyepyramid-check.zip
7c5a986075ade28aaba18d335dd34ef8 *eyepyramid-check.vbs