Ciao Internet! Oggi affrontiamo un argomento complesso e decisamente fuori dall'ordinario. Mi avete chiesto di parlare dei Fratelli Occhio Nero e dell'indagine di Roma che ha rivelato una presunta intercettazione di quasi 20.000 account. Questa puntata è diversa dal solito, quindi vi consiglio di scaricare l'ordinanza e di preparare un buon caffè, perché andremo a leggere insieme e a commentare i punti più significativi da un punto di vista tecnologico.
L'ordinanza è lunga una cinquantina di pagine, quindi è un viaggio dettagliato. Cominciamo dall'inizio. Le prime due pagine parlano della custodia cautelare nei confronti di Giulio e Francesca Maria Occhio Nero per due diverse tipologie di reato. Giulio è accusato di aver inviato un trojan via email utilizzando abusivamente un indirizzo email di uno studio legale per compromettere i sistemi di ENAV. Francesca Maria è invece coinvolta per aver avuto accesso a numerose mail e password nell'ambito dello stesso schema criminoso.
La storia inizia nel marzo 2016 con una mail inviata a ENAV da un presunto avvocato. Si scopre poi che conteneva un trojan, individuato da una società di sicurezza. Questo trojan, noto come "iPyramid", ha una lunga storia di attacchi informatici mirati, risalente addirittura al 2008, e ha colpito diversi istituti professionali e società private.
Il trojan consentiva il pieno controllo remoto dei sistemi infetti e l'esfiltrazione di file, che venivano cifrati e trasmessi in due modi: i file più grandi venivano caricati su account di cloud storage, mentre i file più piccoli venivano inviati come allegati a caselle di posta civetta su domini come gmx.com. Nonostante la società di sicurezza sia riuscita a decifrare alcuni file, molti altri, specialmente quelli più grandi, sono rimasti inaccessibili.
La scoperta del command and control del trojan ha portato a ulteriori rivelazioni. Il malware conteneva una libreria mail.net.dll, che richiedeva una licenza commerciale. Questa licenza è stata tracciata fino a Giulio Occhio Nero, che l'aveva acquistata personalmente.
Le indagini hanno mostrato che il malware era evoluto nel tempo, aggiungendo nuove funzioni come la generazione di alert basati su parole chiave e la geolocalizzazione delle vittime tramite indirizzi IP. Il malware era progettato per inviare comandi attraverso email, complicando il tracciamento delle sue operazioni.
L'intricato sistema di server utilizzati per il command and control era composto interamente da macchine Windows, e il database accessibile conteneva dati compromettenti, tra cui migliaia di username e password. In particolare, una categoria denominata "Bross" conteneva account di membri della massoneria.
L'intercettazione telematica ha rivelato che i Fratelli Occhio Nero avevano accesso e gestione completa dei server dove venivano memorizzati i file rubati. La loro rete comprendeva contatti in politica e finanza, suggerendo che non fossero soli in questa operazione.
Le autorità sono intervenute il 5 ottobre con una perquisizione, durante la quale i fratelli hanno tentato di cancellare le prove distruggendo i dati sui loro computer e server remoti. Tuttavia, l'indagine ha rivelato una rete complessa e ben organizzata di spionaggio informatico che andava ben oltre i Fratelli Occhio Nero.
Vi ringrazio per aver seguito questo lungo e dettagliato episodio. Se siete interessati agli aspetti tecnici e volete verificare se alcune macchine sono state compromesse, vi invito a consultare l'analisi di Federico Maggi su GitHub. Grazie per avermi ascoltato e come sempre, estote parati!
I contenuti dell'Episodio #75
Ciao Internet! Oggi vi parlo di un caso complesso e affascinante che riguarda i Fratelli Occhio Nero e una vasta operazione di intercettazione telematica. Vi guiderò attraverso l'ordinanza, analizzando come questa indagine ha portato alla scoperta di un intricato sistema di cyber spionaggio che ha colpito migliaia di account. Preparatevi un caffè e sedetevi comodi, perché sarà un viaggio dettagliato attraverso le tecnologie e le strategie utilizzate in questo incredibile caso.