Итальянские власти сообщили об аресте двух родственников: Джулио Оккьонеро (Giulio Occhionero) и Франчески Марии Оккьонеро (Francesca Maria Occhionero). Согласно сообщениям властей, эти двое долгие годы занимались кибершпионажем, направленным против итальянских политиков и бизнесменов. Так, среди целей хакеров были бывшие премьер-министры страны Маттео Ренци и Марио Монти, глава европейского Центробанка Марио Драги, кардинал Джанфранко Равази, сотрудники итальянской налоговой службы, сотрудники Банка Италии, члены итальянского сената и высокопоставленные представители Ватикана.
Судя по всему, Джулио Оккьонеро и Франческа Мария Оккьонеро воспользовались услугами местного программиста, который создал по их «заказу» малварь, которую власти называют EyePyramid. Злоумышленники распространяли своего трояна посредством направленного фишинга, рассылая хорошо продуманные вредоносные письма своим жертвам.
Проникнув в систему, EyePyramid собирала информацию о зараженной машине и похищала пароли, документацию и не только. Украденные данные загружались на сервер злоумышленников или отправлялись им на почту, посредством SMTP. Итальянские власти сообщают, что собранные данные, вероятнее всего, использовались для получения финансовой выгоды, хотя не совсем ясно, прибегали злоумышленники к шантажу, или занимались мошенничеством с ценными бумагами.
Афера раскрылась, когда фишинговое письмо с малварью случайно попала в руки неназванного исследователя, который изучил EyePyramid, а затем передал все данные в руки местной полиции. Совместное расследование итальянских правоохранительных органов и ФБР привело к обнаружению и аресту двух серверов на территории США, которые использовали для распространения вредоноса и хранения похищенной информации.
Согласно официальным документам (итальянский язык), EyePyramid использовалась для проведения кибершпионских кампаний в 2008, 2010, 2011, 2012 и 2014 годах. Благодаря работе трояна злоумышленники собрали 87 Гб данных, среди которых были обнаружены 18 327 юзернеймов и 1 793 пароля от различных сервисов и сайтов. Учетные данные были структурированы и разделены на 122 категории.
Более подробный анализ малвари уже провели исследователи компании Trend Micro. Отчет о работе EyePyramid можно найти в блоге компании. Также изучением малвари уже занялись другие специалисты, чьи отчеты можно найти, к примеру, блоге Payload Security.
Интересно, что название EyePyramid явно является отсылкой к всевидящему оку или лучезарной дельте — известному масонскому символу. Причем здесь масоны? Дело в том, что итальянская полиция открыто заявляет о том, что Джулио Оккьонеро является высокопоставленным членом масонской ложи, а одной из целей киберкампании был великий магистр крупнейшей ложи в Италии. Из-за связи с масонами в прессе уже строят самые разные теории, начиная от связи EyePyramid с Project Sauron и заканчивая возможной связью Оккьонеро с АНБ. Однако это лишь спекуляции, так как никаких доказательств и фактов нет.
Фото: Depositphotos