Si chiamano malware, abbreviazione che sta per malicious software. Un software dannoso. Quello che ha consentito di entrare negli account di posta elettronica di 18.237 tra politici, banchieri, e rappresentati delle istituzioni italiane si chiama Eye Pyramid. "Occhio sulla piramide", il simbolo massonico per eccellenza. Conosciuto dal 2008, ma da allora ha cambiato forma per resistere ai sistemi di sicurezza informatica. In gergo tecnico si chiama APT (advanced persistent threat), ed è un programma che istallato su un computer consente di controllarlo da remoto, superando la protezione del sistema che impediscono l’esportazione occulta dei dati all’esterno. Mercoledì 10 gennaio sono stati arrestati i due autori degli attacchi. Hacker insospettabili.
Come si infetta una macchina?
L’attacco malware avviene generalmente tramite una email. Dalle carte della Procura di Roma si legge che quella che ha poi consentito di infettare i computer veniva da uno studio legale, in cui si diceva di scaricare un file Pdf contenuto in allegato. Una fattura, nel caso specifico. Dentro quel Pdf in realtà è contenuto il software. Appena si apre il file, l’infezione del computer è avvenuta. Il maleware si appoggia su una rete di computer (botnet) infetta. File rubati e riversati su server Usa, sequestrati dall'FBI.
Come è possibile che si sia allargata a migliaia di indirizzi di posta?
Gli account di posta hackerati sono tutti quelli ufficiali di enti specifici. @bancaditalia.it, @esteri.it, @pdl.it, @unibocconi.it, tesoro.it, @gdf.it @partitodemocratico.it. Migliaia di indirizzi email che possono essere stati infettati in due modi. O si è cercato di colpire un account alla volta, con il metodo delle email. Oppure, cosa più facile ma non confermata, è possibile che sia stato infettato l’account degli amministratori dei vari domini. Una volta hackerato quello, è possibile a chi ha violato l’account di estendere il proprio controllo a tutti gli indirizzi con quel dominio, grazie ai privilegi dell’amministratore.
Cosa fa un malware una volta entrato nel sistema?
I software malevoli sono fatti per entrare nelle caselle di posta, leggere i dati contenuti nelle email, copiarli e inviarli all’esterno. I dati vengono inviati degli indirizzi di posta specifici a cui hanno accesso gli autori dell’attacco (sono 4 gli indirizzi email di destinazione individuati dalla Procura della Repubblica). Ciò che li rende difficilmente riconoscibili e che non lasciano traccia alcuna nelle mail inviate.
Perché un malware del 2008 è ancora attivo e non è possibile fermarlo?
EyePyramid come tutti i malware è costituito da un "nocciolo duro" che è il software che consente di leggere, copiare e inoltrare i dati. E da una "parte variabile" che si adegua ai sistemi di sicurezza sviluppati nel tempo. Modificando quel codice è possibile renderlo sempre aggiornato. E letale. Ciò lo rende praticamente invulnerabile. Aggiornare il proprio antivirus è una buona pratica, ma per sua stessa natura il malware può mutare e attaccare anche una macchina aggiornata. Di fatto non ci sono alternative se non guardare con sospetto tutto ciò che chiede di scaricare un file.
