In queste prime ore dalla scoperta del software spione, ideato e gestito sembra dai due fratelli Occhionero, già molte sono le notizie e gli articoli che si rincorrono sulla stampa e nei tg. Ma quasi tutte raccontano di come sia possibile una infezione di tale portata così duratura nel tempo.
Poche, invece, ancora sono le informazioni su come capire se siamo stati infettati o, per utilizzare un termine più appropriato, attenzionati da questo software. Leggendo l’ordinanza del Tribunale, che già circola in rete, però ci sono già i primi elementi per fare dei controlli sui PC Windows di casa o aziendali.
Eye Pyramid è un APT, scritto in VB.NET per sistemi Windows in vita dal 2010 sino ad oggi(!) ed utilizza la libreria commerciale per la gestione della posta elettronica denominata MAILBEE.NET.DLL, per fare esfiltrazione di dati. Basta quindi fare una ricerca pervasiva sul disco, per capire se esiste o meno quest’ultima. Ma la sua presenza non è necessariamente un segno di compromissione, perché la libreria è appunto commerciale. Però, ed è qui il paradosso, il numero di licenza è intestato proprio ai fratelli Occhionero (quale spione commetterebbe questo errore marchiano?) e sembrerebbe iniziare, sempre dagli atti, con la sequenza alfanumerica MN600-D8102T401003102110C5114. Quindi se accertiamo la presenza della libreria, dobbiamo controllare nel registro di windows che la licenza combaci. Se c’è allora possiamo preoccuparci!
Altri elementi assai importanti sono le e-mail di destinazione dei dati esfiltrati, anche questi indicati nell’ordinanza. Li elenchiamo per un controllo che però è possibile più in realtà aziendali che casalinghe, andando ad analizzare i server di posta interni: purge626[@]gmail.com, tip848[@]gmail.com, dude626[@]gmail.com, octo424[@]gmail.com. Altro indirizzo di posta rilevante è gpool[@]hostpenta.com utilizzato per dei forward da parte del troiano.
Nei prossimi giorni verranno diramati sicuramente degli IOC (Indicators of Compromise) da parte dalle forze di polizia e dai CERT nazionali, che ovviamente stanno lavorando alacremente su questo immenso caso di sicurezza nazionale. Si parla infatti anche di esfiltrazione di documenti classificati, che ovviamente è un bel problema.
La domanda è: perché gli antivirus non lo hanno rilevato? Alla prossima puntata.
