Выбирай : Покупай : Используй
0

Арестованы хакеры брат и сестра, шпионившие за политиками и масонами

Полиция Италии арестовала инженера-ядерщика и его сестру, обвиняемых в проведении масштабной кибершпионской кампании. Жертвами шпионажа стали итальянские политики, юристы, предприниматели и масоны.

Арест семьи хакеров

Полиция задержала двух хакеров (брата и сестру), которых обвиняют во взломе как минимум 18 тыc. почтовых аккаунтов с помощью вредоносного ПО EyePiramid.

Среди жертв Джулио и Франчески Марии Оччьонеро (Giulio Occhionero, Francesca Maria Occhionero) оказались президент Европейского центрального банка Марио Драги (Mario Draghi), двое бывших премьер-министров Италии Маттео Ренци (Matteo Renzi) и Марио Монти (Mario Monti), кардинал Джанфранко Равази (Gianfranco Ravasi), председатель Папского совета по культуре и Папской комиссии по священной археологии Стефано Бизи (Stefano Bisi), итальянский журналист и писатель, с 2014 г. возглавляющий «Великий Восток Италии» — наиболее влиятельную масонскую организацию страны.

Инженер-ядерщик Джулио Оччьонеро также является членом этой ложи. На данный момент он категорически отрицает, что занимался кибершпионажем.

Технология взломов

Согласно выводам полиции, в своих атаках злоумышленники использовали зловред EyePyramid, который рассылался жертвам посредством спиэр-фишинговых писем. Зловред затем занимался кражей данных, которые пересылались на серверы в США.

Брат и сестра занимались шпионажем за множеством известных людей в Италии

Полиция нейтрализовала два сервера, которые Оччьонеро использовали для управления ботнетом EyePyramid, но их анализ ещё не производился.

Выводы российских специалистов

«Лаборатория Касперского» опубликовала свой анализ EyePyramid, назвав зловред «кустарным» и легко опознаваемым. Оперативная маскировка всей кампании также была очень слабой: атаки производились прямо с IP-адресов, используемых организацией, принадлежащей Оччьонеро. Своих жертв брат и сестра открыто обсуждали по телефону и WhatsApp. При задержании они тщетно пытались скрыть улики.

Несмотря на очевидные слабые места, кампания успешно продолжалась несколько лет: первые сэмплы датированы 2010 г., а пик активности пришелся на 2014-2015 гг.

Нестандартная специфика

Стоит отметить, что анализ зловреда, проведенный TrendMicro, показывает довольно странные вещи: например, в разных фрагментах кода использованы разные методы обфускации.

«То, что на первый взгляд выглядит как "наивный" код, написанный на .NET (>=4.5.x), при ближайшем рассмотрении оказывается чем-то более хитрым, — пишут эксперты. — После стандартной обфускации, которую можно снять с помощью штатных средств, значимые фрагменты декомпилированного кода также подвергнуты обфускации, что усложняет обнаружение и анализ зловреда. Например, информация об URL контрольных серверов и лицензионном ключе MailBee... были очень хорошо замаскированы».

Во вредоносном ПО использовались API платной библиотеки, используемой для разработки почтовых клиентов, — MailBee.NET.dll. Эти API использовались для переправки похищенных данных на почтовые адреса, контролируемые злоумышленниками. По данным TrendMicro, библиотека была официально приобретена на имя самого Оччьонеро, и именно благодаря этому полиция и смогла выйти на него.

Предполагаемая подоплека

«История, как ее подают СМИ на данный момент, выглядит очень неоднозначной. Если Оччьонеро действительно использовал IP-адреса собственной компании для проведения атак, а в своем зловреде — API библиотеки, которая была официально лицензирована на его имя, то это все равно как если бы взломщик сейфа оставил на месте преступления визитную карточку с домашним адресом, — говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". — Возникают подозрения, что Оччьонеро могли подставить, чтобы сбить полицейских со следа настоящих преступников. С другой стороны, сегодня, чтобы быть успешным киберпреступником, не надо быть гениальным программистом или хакером, и даже собственный софт разрабатывать совершенно не обязательно: весь нужный инструментарий для кибератак можно найти на черном рынке. Достаточно только знать, что именно тебе нужно».

Гвоздев также добавил, что иногда и весьма старые эксплойты и трояны сохраняют эффективность в течение долгого времени: пользователи и организации слишком часто пренебрегают основами кибербезопасности и слишком легко попадаются на приманки фишеров.

Комментарии