Поделиться
Арестованы хакеры брат и сестра, шпионившие за политиками и масонами
Полиция Италии арестовала инженера-ядерщика и его сестру, обвиняемых в проведении масштабной кибершпионской кампании. Жертвами шпионажа стали итальянские политики, юристы, предприниматели и масоны.
Арест семьи хакеров
Полиция задержала двух хакеров (брата и сестру), которых обвиняют во взломе как минимум 18 тыc. почтовых аккаунтов с помощью вредоносного ПО EyePiramid.
Среди жертв Джулио и Франчески Марии Оччьонеро (Giulio Occhionero, Francesca Maria Occhionero) оказались президент Европейского центрального банка Марио Драги (Mario Draghi), двое бывших премьер-министров Италии Маттео Ренци (Matteo Renzi) и Марио Монти (Mario Monti), кардинал Джанфранко Равази (Gianfranco Ravasi), председатель Папского совета по культуре и Папской комиссии по священной археологии Стефано Бизи (Stefano Bisi), итальянский журналист и писатель, с 2014 г. возглавляющий «Великий Восток Италии» — наиболее влиятельную масонскую организацию страны.
Инженер-ядерщик Джулио Оччьонеро также является членом этой ложи. На данный момент он категорически отрицает, что занимался кибершпионажем.
Технология взломов
Согласно выводам полиции, в своих атаках злоумышленники использовали зловред EyePyramid, который рассылался жертвам посредством спиэр-фишинговых писем. Зловред затем занимался кражей данных, которые пересылались на серверы в США.
Полиция нейтрализовала два сервера, которые Оччьонеро использовали для управления ботнетом EyePyramid, но их анализ ещё не производился.
Выводы российских специалистов
«Лаборатория Касперского» опубликовала свой анализ EyePyramid, назвав зловред «кустарным» и легко опознаваемым. Оперативная маскировка всей кампании также была очень слабой: атаки производились прямо с IP-адресов, используемых организацией, принадлежащей Оччьонеро. Своих жертв брат и сестра открыто обсуждали по телефону и WhatsApp. При задержании они тщетно пытались скрыть улики.
Несмотря на очевидные слабые места, кампания успешно продолжалась несколько лет: первые сэмплы датированы 2010 г., а пик активности пришелся на 2014-2015 гг.
Нестандартная специфика
Стоит отметить, что анализ зловреда, проведенный TrendMicro, показывает довольно странные вещи: например, в разных фрагментах кода использованы разные методы обфускации.
«То, что на первый взгляд выглядит как "наивный" код, написанный на .NET (>=4.5.x), при ближайшем рассмотрении оказывается чем-то более хитрым, — пишут эксперты. — После стандартной обфускации, которую можно снять с помощью штатных средств, значимые фрагменты декомпилированного кода также подвергнуты обфускации, что усложняет обнаружение и анализ зловреда. Например, информация об URL контрольных серверов и лицензионном ключе MailBee... были очень хорошо замаскированы».
Во вредоносном ПО использовались API платной библиотеки, используемой для разработки почтовых клиентов, — MailBee.NET.dll. Эти API использовались для переправки похищенных данных на почтовые адреса, контролируемые злоумышленниками. По данным TrendMicro, библиотека была официально приобретена на имя самого Оччьонеро, и именно благодаря этому полиция и смогла выйти на него.
Предполагаемая подоплека
«История, как ее подают СМИ на данный момент, выглядит очень неоднозначной. Если Оччьонеро действительно использовал IP-адреса собственной компании для проведения атак, а в своем зловреде — API библиотеки, которая была официально лицензирована на его имя, то это все равно как если бы взломщик сейфа оставил на месте преступления визитную карточку с домашним адресом, — говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". — Возникают подозрения, что Оччьонеро могли подставить, чтобы сбить полицейских со следа настоящих преступников. С другой стороны, сегодня, чтобы быть успешным киберпреступником, не надо быть гениальным программистом или хакером, и даже собственный софт разрабатывать совершенно не обязательно: весь нужный инструментарий для кибератак можно найти на черном рынке. Достаточно только знать, что именно тебе нужно».
Гвоздев также добавил, что иногда и весьма старые эксплойты и трояны сохраняют эффективность в течение долгого времени: пользователи и организации слишком часто пренебрегают основами кибербезопасности и слишком легко попадаются на приманки фишеров.
Короткая ссылка
