Viale Premuda 14, 20129 Milano - academy@digiacademy.it - 0250030724

Se vuoi… Puoi

Ancora una volta ho scelto di spingere i miei due personaggi in una possibile realtà: la nostra

Il consulente “molto speciale” dei Servizi suonò insistentemente il campanello. Al di là della porta Leonardo Artico si mosse con insolita lentezza, in fondo era soltanto per darsi una certa importanza. Quando aprì, Giovanni D’amato entrò senza nemmeno salutarlo e si accomodò direttamente sulla poltrona, senza togliersi neppure il soprabito.

“Ti vedo agitato.” Borbottò Leo con un mezzo sorriso. “Il cappotto?”

“Ho freddo, questo clima mi disturba, ma non perdiamoci in ciance.” Sibilò D’amato. “Spiegami. Hai letto l’ordinanza?”

Leo si accomodò sulla poltrona di fronte a quella di Giovanni e gli sfoggiò un sorrisino.

“Ti prego evita di darti il tono dell’esperto.” D’amato era impaziente. “ Sei bravo. Ecco, adesso spero di avere soddisfatto il tuo ego, quindi dimmi qualcosa, perché la situazione non mi piace nemmeno un po’.”

“Cosa ti turba fino a questo punto?” Leo proprio non riusciva a resistere alla tentazione di provocare il suo interlocutore.

“Sono tutti sul piede di guerra e sembra che la sicurezza informatica sia diventata una priorità nazionale. Come puoi immaginare questo disturba la mia attività e… I nostri comuni piani. Anni di lavoro e poi mi ritrovo in ufficio dilettanti che chiedono spiegazioni su questo e su quello. Dio Santo! Questa gente non è pronta per la verità, che ci lascino lavorare. Insomma Leo, questi tizi chi accidenti sono?” D’amato si abbandonò contro lo schienale della poltrona.

“Va bene. Rilassati un attimo. Adesso ti dico come la vedo. Bada bene, magari mi sbaglio e forse in questa storia, che dura da un pezzo, ci sono delle variabili non prevedibili. Tuttavia sulla base dell’ordinanza credo che la storia sia andata più o meno in questo modo.” Artico si allungò sulla poltrona, incrociò le dita portandole all’altezza del mento e prese la parola.

“Cominciamo con le buone notizie: sono bravi, ma non infallibili, anzi, con il senno di poi penso che abbiamo iniziato a giocare una partita molto più grande di loro.”

D’amato lo interruppe subito: “Mi stai dicendo dietro questa storia non ci sono altri.”

“Per certo non lo posso affermare, però, se metti in fila i loro errori, se anche ci fosse qualcuno alle loro spalle non rappresenta un minaccia particolarmente grave.”

“Come fai a dirlo?”

“Se i PM e il giudice per le indagini preliminari non hanno omesso nulla lo intuisci dalle prime righe dell’ordinanza dove leggi che: accedevano abusivamente alla casella di posta elettronica, protetta da misure di sicurezza, in uso allo Studio Legale dell’Avv. Ernesto Stajano, quindi da tale casella, sostituendo illecitamente la propria all’altrui persona, poneva in essere atti idonei ad indurre in errore il dot.. Ernesto Di Maio, responsabile della sicurezza della società ENAV S.p.a.: in particolare inviavano all’ENAV S.p.a. un messaggio di posta elettronica contente un allegato malevolo (virus informatico EyePyramid), che una volta auto-installato nel sistema informatico dell’ENEA S.p.a avrebbe permesso di accedere abusivamente al relativo sistema informatico.

“Mi stai dicendo che hanno tentato un phishing con il responsabile della sicurezza?” D’amato sembrava già di un umore migliore.

“Apparentemente si, a meno che non pensavo a quell’altro politicamente impegnato, ma il risultato non cambia: come tentare di scippare un carabiniere. Onestamente penso che gli sia sfuggita di mano la situazione, perché la ricostruzione dell’ordinanza parla di anni di spionaggio e quindi sono sempre stati molto prudenti, ma le legge dei grandi di numeri non perdona.”

“Cosa intendi dire?”

“Nell’ordinanza si parla di una tabella nella quale sono riportati i nomi, cognomi, indirizzi di posta elettronica, domini web, password, ecc. Nello specifico si tratta di un elenco di 18327 username univoche, alcun delle quali (con precisione 1793) corredate da password… Tale database contiene un elenco di persone attenzionate dagli indagati, che siano state oggetto di tentativi di infezione, più o meno riusciti. In tal senso si ritiene che il campo “LastSender”, presente nella tabella, riporti l’ultimo indirizzo di posta elettronica utilizzato dagli indagati per veicolare il malware verso i target; mentre il campo “Date” e “previous” sarebbero ad indicare le date ei tentativi di infezione. Questo significa che non si trattava di un’attività massiva e indiscriminata, ma mirata e progressiva. Stiamo parlando di Spear Phishing, cioè attacchi mirati sull’obiettivo con messaggi e mittenti che dovevano risultare credibili. Per esempio, sempre nell’ordinanza, scopri che l’ultimo tentativo di colpire l’account f.cicchitto@????? Era partito dalla casella g.capezzone@virg???. Insomma ci pensavano. Tuttavia la probabilità di errore cresce all’aumentare del numero dei target e una possibilità su quasi ventimila mi sembra un buon risultato prima di incappare nel capo della sicurezza di ENAV. Credo si siano lasciati prendere la mano e abbiano finito per distrarsi. Imperdonabile.”

“Non ho ancora capito se devo stare tranquillo.” D’amato sembrava spazientito.

“Da un certo punto di vista si, da un altro no.”

“Spiegati. Quando fai così riesci a innervosirmi.” Giovanni si appuntò mentalmente che avrebbe dovuto trovare un sistema per rendere Leo meno indisponente e più disponibile.

“Partiamo con le buone notizie. Da quanto si evince dall’ordinanza le tecnologia che hanno utilizzato era di un livello medio basso e anche il loro approccio allo spionaggio informatico soffriva di alcuni peccati di ingenuità. Leggiamo che il malware rivenuto nella email indirizzata ad ENAV sarebbe corrispondente a una recente versione di un virus denominato EyePyramid, già noto a partire dal 2008 in quanto all’epoca utilizzato in una massiccia e duratura campagna di attacchi informatici appartenenti a società private e studi professionali… Così, fin dal maggio 2010, tutte le versioni del programma malevolo succedutesi nel tempo, fino al dicembre 2015, hanno sempre utilizzato la stessa licenza del componente MailBee.NET, caratterizzata dallo stesso codice univoco identificativo… Altro fatto, estremamente significativo, emerso dalle indagini è che, in una versione del virus, diffusa alla fine del 2010, i dati carpiti dalle macchine compromesse venivano inviati ai seguenti indirizzi email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo....

“L’inchiesta sulla Loggia P4!” lo interruppe D’amato. “Non erano riusciti a risalire a chi facesse riferimento quella casella di posta.”

“Vedo che hai buona memoria.” Riprese Leo. “Mi insegni che un indirizzo compromesso non è proprio il caso di tenerlo in vita, immagino che dal tuo punto di vista questo aspetto apra interessanti scenari, ma andrei oltre. Leggiamo ancora e scopriamo che … emergeva poi che la versione attuale del malware reinoltrava il contenuto… verso un account del dominio hostpenta.com (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.)... Il dominio, infatti, risultava essere collegato con altri domini, tra i quali si evidenziano i seguenti : … occhionero.com, occhionero.net, westlands.com … Ulteriori accertamenti effettuati per il tramite dell’F.B.I. statunitense presso la società Afterlogic Corporation, produttrice della licenza Mailbee.NET Objects, permetteva di appurare che la licenza relativa al componente utilizzato dal malware, dal maggio 2010 al dicembre 2015, risultava essere stata acquisita proprio da…

“Gli indagati.” Concluse D’amato

“Esatto.” Riprese Artico. “Due ingenuità gravissime: una licenza con nome e cognome e poi mischiare dei domini puliti con altri compromessi. Un fatto aggravato dalle successive intercettazione che hanno rilevato come alcuni di questi domini fossero associati agli indirizzi pubblici dei server gestiti dagli stessi indagati. Comunque dopo che sono partite le intercettazioni tutto è stato relativamente semplice.”

“Se ho capito bene. “ Intervenne di nuovo il consulente “molto speciale” dei Servizi. “Gli indagati hanno lavorato in proprio per molti anni, forse vendendo qualche piccolo servizio a terzi, come nel caso della P4. Le informazioni che raccoglievano, questo lo immagino, le hanno utilizzate con grande prudenza, magari per le loro attività professionali. Questa politica gli ha permesso di restare nell’ombra per molti anni, fatto apprezzabile per delle spie, ma quando hanno commesso un errore, statisticamente prevedibile, sono stati incastrati dalle loro stesse ingenuità. Devo dire che tutto questo mi solleva. Se alle spalle ci fosse stata un’organizzazione veramente seria e pericolosa, errori di questo tipo non si sarebbero verificati.”

“Non vuoi sentire le cattive notizie?” disse Leo con un sogghigno.

“Se proprio insisti.”

“Si tratta del malware. In primo luogo questo EyePyramid sembra sia noto dal 2008, peccato che non risulta conosciuto ad alcuna azienda produttrice di anti-virus. In secondo, da quanto emerge dall’ordinanza sembra sia stato sviluppato in visual basic, un  linguaggio di programmazione che i miei definiscono da liceali. Questi due dettagli mi fanno sorgere alcuni dubbi e qualche domanda. Possibile che si tratti di un malware nazionale? E come mai in nove anni nessuno ha pensato di denunciarne l’esistenza e predisporre delle contromisure? Il linguaggio di programmazione utilizzato è proprio banale e di primo acchito risponde perfettamente al quadro generale di un soggetto non informatico, ma brillante e molto prudente che, piuttosto di rivolgersi a terzi con maggiori competenze, sacrifica la qualità per la segretezza. Se invece lo avesse ereditato da qualcun altro? Magari da chi una decina di anni fa muoveva i primi passi nello spionaggio on line? Se invece si trattasse di un’arma sorpassata dai tempi transitata di mano in mano fino ad arrivare agli indagati? Poi certo l’hanno mantenuta e perfino aggiornata, ma se si tratta di un’eredità segreta forse si spiegherebbero le ragioni per cui questo virus non è mai stato segnalato ai chi produce gli antivirus…”

“Leo… Ti fai sempre delle domande interessanti. Facciamo che provo a fare un po’ di domande, magari tra qualche tempo, quando le acque si saranno calmate e vediamo se e cosa c’è sotto questo virus. Nel frattempo ti ringrazio per avermi tolto un peso dallo stomaco.”

“Mi stati dicendo che avevi paura?”

D’amato stava per uscire, ma si voltò e fissò Artico con una certa intensità: “Leo, io lavoro in una cristalleria i cui clienti sono degli elefanti e sono certo che puoi immaginare il disastro se un topolino si mette a girare nel mio negozio.”

“Effettivamente immagino e questo è proprio un bel topolino.”

“No, perché domani risulterà essere una pulce e per giunta anche morta.”

Leo fissò la porta che si chiudeva e decise che era il momento di prepararsi un ginseng.

 

 

Alessandro Curioni

P.IVA 06249920965
C.C.I.A.A. REA: MI - 1880014
Cap. Soc. € 12.000,00

Contatti

Viale Premuda n. 14 ,20129 Milano
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Tel.: +39 02 50030 724
Fax.: +39 02 50030 725

© Copyright DI.GI. Academy
Privacy Policy | Cookie Policy

L’area Formazione è certificata ISO 9001