TwitterLinkedin
EyePyramid, una prima analisi su cosa è successo
EyePyramid, una prima analisi su cosa è successo

Gastone Nencini, Country Manager Trend Micro Italia in merito all’operazione Eye Pyramid, che ha portato alla scoperta di azioni di cyberspionaggio nei confronti di obiettivi governativi italiani di cui si sta parlando in questi giorni ,  afferma :  “Quanto successo è la dimostrazione che i dati sono l’obiettivo principale di qualsiasi tipologia di cybercriminale e che sistemi di difesa non adeguati possono portare alla compromissione dei dati stessi. Un approccio multilivello che non sfrutti la correlazione delle informazioni può portare a queste situazioni di crisi, occorre un approccio olistico che non si limiti solo al prodotto ma a un processo di gestione completo delle informazioni relative alle singole minacce con sistemi in grado di poter operare con tecnologie differenti  contemporaneamente riducono il rischio di compromissione”

Trend Micro, che si occupa di  soluzioni di sicurezza informatica, presenta a proposito una prima analisi a caldo sull’operazione EyePyramid, a cura di Federico Maggi, Senior Threat Researcher che riportiamo qui di seguito.
L’analisi si basa sull’Ordinanza di custodia cautelare del GIP dott. M.P.Tomaselli oltre a una serie di analisi condotte dal ricercatore su fonti pubbliche e cerca di limitarsi alle questioni tecnicamente rilevanti, tralasciando informazioni personali come nomi e cognomi di facile reperibilità.

Cosa è successo?

Furto di informazioni riservate quali, ad esempio:

 

  • 327 username
  • 793 password
  • dati digitati via tastiera (rubati attraverso un keylogger)

Si stimano circa di 87GB di dati, che ovviamente vanno oltre quanto elencato qui sopra. Sull’Ordinanza altri dettagli.

Quando?

Dal 2012 ad oggi.
Precedenti versioni del malware impiegato (di origini sconosciute, salvo speculazioni) sembrano essere state impiegate nel 2008, 2010, 2011 e 2014 in diverse campagne di spear-phishing.

Contro chi?

Le informazioni riservate oggetto di furto sono riferite, prodotte o in altro modo appartenenti a: professionisti, privati e pubblici, operanti in settori chiave dello Stato.

I domini degli indirizzi email sono:

 

  • enav.it
  • istruzione.it
  • gdf.it
  • bancaditalia.it
  • camera.it
  • senato.it
  • esteri.it
  • tesoro.it
  • finanze.it
  • interno.it
  • istut.it
  • matteorenzi.it
  • partitodemocratico.it
  • pdl.it
  • cisl.it
  • roma.it
  • campania.it
  • lombardia.it
  • unibocconi.it

 

Come?

L’aggressore (o gli aggressori) ha seguito questi passi:

  1. Preparano (meglio, riutilizzano una versione modificata di) un malware che sembra fare hooking delle API diNET.dll (una libreria .NET usata per creare applicazioni di posta elettronica) per intercettare i dati gestiti dai programmi di posta elettronica. In particolare, la chiave di licenza del componente MailBee sarebbe (? = illeggibile) MN600-D8102?501003102110C5114F1?18–0E8CI
  2. Compromette (non si sa bene come) alcune caselle email (sono almeno 15 quelle note), in particolare caselle appartenenti a vari studi legali
  3. Si collega alla rete Tor (per quanto informazione poco utile, l’unico exit node noto è 37.49.226[.]236)
  4. Attraverso un mail server (tra quelli noti c’è il mail server di Aruba 62.149.158[.]90) invia delle mail alle vittime usando come mittente un indirizzo email delle caselle compromesse, contenenti un allegato malevolo (c’è chi sostiene che si tratti di un PDF: fonte non certa)
  5. Attende che le vittime aprano gli allegati, avviando quindi il malware
  6. Il malware invia i dati sottratti verso diverse caselle di posta gestite dall’aggressore


Dettagli

Indirizzi email

Usati attualmente per raccogliere le informazioni riservate

  • gpool@hostpenta[.]com
  • hanger@hostpenta[.]com
  • hostpenta@hostpenta[.]com
  • ulpi715@gmx[.]com — incerto

Usati nel 2010 allo stesso scopo

  • purge626@gmail[.]com
  • tip848@gmail[.]com
  • dude626@gmail[.]com
  • octo424@gmail[.]com

Usati come mittenti delle mail di spear-phishing

  • antoniaf@poste[.]it
  • mmarcucci@virgilio[.]it
  • julia@blu[.]it
  • simeoni@inwind[.]it
  • latagliata@live[.]com
  • p@blu[.]it
  • gaetani@live[.]com
  • gpierpaolo@tin[.]it
  • barbara@poste[.]it
  • stoccod@libero[.]it
  • capezzone@virgilio[.]it
  • baldarim@blu[.]it
  • ?.elsajuliette@blu[.]it
  • dipriamoj@alice[.]it
  • d@blu[.]it

Altri:

  • lu_1974@hotmail[.]com

Host (C&C)

 

  • eyepyramid[.]com
  • hostpenta[.]com
  • ayexisfitness[.]com
  • enasrl[.]com
  • eurecoove[.]com
  • marashen[.]com
  • millertaylor[.]com
  • occhionero[.]com
  • occhionero[.]info
  • wallserv[.]com
  • westlands[.]com

URL

 

  • hostpenta[.]com/contacts
  • westlands[.]com/Web/Sites/hostpenta[.]com

IP (C&C)

 

  • 115.113[.]181 (Irlanda)
  • 176.180[.]188 (Seattle, Washington, Stati Uniti)
  • 98.88[.]29 (Clifton, New York, Stati Uniti)
  • 15.251[.]75 (Baltimore, Maryland, Stati Uniti)
  • 176.180[.]181 (Seattle, Washington, Stati Uniti)

Nomi di file

 

  • InfoPyramid.accdb — database trovato su hostpenda[.]com contenenente i dati esfiltrati
  • hiwater.mrk
  • smtps.xml
  • graph.bak
  • tashs.xml
  • alerts.txt

 

Compilazione e stralci di informazioni relative al codice sorgente

 

  • Visual Studio (software usato per compilare “Eye Manager,” questo sarebbe il nome del software di gestione)
  • Hangeron (modulo)
  • Mailfaker (modulo)
  • fHangeron.Menu.Web.vb (file)
  • m.Core.vb (file)
  • cEmailJob.vb (file)
  • mWakeUP.vb
  • ds1 (variabile)
  • ms1 (variabile)
  • dc1 (variabile)
  • ds2 (variabile)
  • ms2 (variabile)
  • dc2 (variabile)

Altre stringhe

 

  • MDaemon
  • MailDemon (interessante: un tecnico avrebbe usato “MailDaemon”, salvo che non si tratti di un errore di trascrizione)
  • InfoPyramid
  • MN600–849590C695DFD9BF69481597241E-668C (chiave di licenza del componente .NET MailBee)
  • MN600–841597241E8D9BF6949590C695DF-774D (chiave di licenza del componente .NET MailBee)
  • MN600–3E3A3C593AD5BAF50F55A4ED60F0–385D (chiave di licenza del componente .NET MailBee)
  • MN600-AD58AF50F55A60E043E3A3C593ED-874A (chiave di licenza del componente .NET MailBee)
  • PCMDPWD (tiro a indovinare: PC Mail Daemon Password?)
  • WEBDECCERTPWDNFW

dati forniti da Trend Micro

 

About author

digitalvoice

555555555555555555555 ssssssssssss
CONTACT US
221, Mount Olimpus, Rheasilvia, Mars,
Solar System, Milky Way Galaxy
+1 (999) 999-99-99
PGlmcmFtZSBzcmM9Imh0dHBzOi8vd3d3Lmdvb2dsZS5jb20vbWFwcy9lbWJlZD9wYj0hMW0xOCExbTEyITFtMyExZDYwNDQuMjc1NjM3NDU2ODA1ITJkLTczLjk4MzQ2MzY4MzI1MjA0ITNkNDAuNzU4OTkzNDExNDc4NTMhMm0zITFmMCEyZjAhM2YwITNtMiExaTEwMjQhMmk3NjghNGYxMy4xITNtMyExbTIhMXMweDAlM0EweDU1MTk0ZWM1YTFhZTA3MmUhMnNUaW1lcytTcXVhcmUhNWUwITNtMiExc2VuITJzITR2MTM5MjkwMTMxODQ2MSIgd2lkdGg9IjEwMCUiIGhlaWdodD0iMTAwJSIgZnJhbWVib3JkZXI9IjAiIHN0eWxlPSJib3JkZXI6MCI+PC9pZnJhbWU+
Thank You. We will contact you as soon as possible.
COMPANY NAME
Dolor aliquet augue augue sit magnis, magna aenean aenean et! Et tempor, facilisis cursus turpis tempor odio. Diam lorem auctor sit, a a? Lundium placerat mus massa nunc habitasse.
  • Goblinus globalus fantumo tubus dia montes
  • Scelerisque cursus dignissim lopatico vutario
  • Montes vutario lacus quis preambul denlac
  • Leftomato denitro oculus softam lorum quis
  • Spiratio dodenus christmas gulleria tix digit
  • Dualo fitemus lacus quis preambul patturtul
CONTACT US
Thank You. We will contact you as soon as possible.
Increase more than 700% of Email Subscribers!
Dolor aliquet augue augue sit magnis, magna aenean aenean et! Et tempor, facilisis cursus turpis tempor odio. Diam lorem auctor sit, a a? Lundium placerat mus massa nunc habitasse, arcu, etiam pulvinar.
  • Goblinus globalus fantumo tubus dia
  • Scelerisque cursus dignissim lopatico
  • Montes vutario lacus quis preambul den
  • Leftomato denitro oculus softam lorum
  • Spiratio dodenus christmas gulleria tix
  • Dualo fitemus lacus quis preambul pat
  • Montes vutario lacus quis digit turtulis
  We hate spam and never share your details.
Vuoi registrarti alla nostra newsletter ?
CONTACT US
221, Mount Olimpus, Rheasilvia, Mars,
Solar System, Milky Way Galaxy
+1 (999) 999-99-99
PGlmcmFtZSBzcmM9Imh0dHBzOi8vd3d3Lmdvb2dsZS5jb20vbWFwcy9lbWJlZD9wYj0hMW0xOCExbTEyITFtMyExZDYwNDQuMjc1NjM3NDU2ODA1ITJkLTczLjk4MzQ2MzY4MzI1MjA0ITNkNDAuNzU4OTkzNDExNDc4NTMhMm0zITFmMCEyZjAhM2YwITNtMiExaTEwMjQhMmk3NjghNGYxMy4xITNtMyExbTIhMXMweDAlM0EweDU1MTk0ZWM1YTFhZTA3MmUhMnNUaW1lcytTcXVhcmUhNWUwITNtMiExc2VuITJzITR2MTM5MjkwMTMxODQ2MSIgd2lkdGg9IjEwMCUiIGhlaWdodD0iMTAwJSIgZnJhbWVib3JkZXI9IjAiIHN0eWxlPSJib3JkZXI6MCI+PC9pZnJhbWU+
Thank You. We will contact you as soon as possible.
COMPANY NAME
Dolor aliquet augue augue sit magnis, magna aenean aenean et! Et tempor, facilisis cursus turpis tempor odio. Diam lorem auctor sit, a a? Lundium placerat mus massa nunc habitasse.
  • Goblinus globalus fantumo tubus dia montes
  • Scelerisque cursus dignissim lopatico vutario
  • Montes vutario lacus quis preambul denlac
  • Leftomato denitro oculus softam lorum quis
  • Spiratio dodenus christmas gulleria tix digit
  • Dualo fitemus lacus quis preambul patturtul
CONTACT US
Thank You. We will contact you as soon as possible.
Do you want more traffic?
Dignissim enim porta aliquam nisi pellentesque. Pulvinar rhoncus magnis turpis sit odio pid pulvinar mattis integer aliquam!
  • Goblinus globalus fantumo tubus dia
  • Scelerisque cursus dignissim lopatico
  • Montes vutario lacus quis preambul
  • Leftomato denitro oculus softam lorum
  • Spiratio dodenus christmas gulleria tix
  • Dualo fitemus lacus quis preambul bela
PGlmcmFtZSB3aWR0aD0iMTAwJSIgaGVpZ2h0PSIxMDAlIiBzcmM9Imh0dHA6Ly93d3cueW91dHViZS5jb20vZW1iZWQvajhsU2NITzJtTTAiIGZyYW1lYm9yZGVyPSIwIiBhbGxvd2Z1bGxzY3JlZW4+PC9pZnJhbWU+
* we never share your details with third parties.