Сигурност

Арестувани са хакери брат и сестра, атакуващи политици и видни личност

CIO Media

Полицията на Италия арестува двама хакери (брат и сестра), които са обвинени в провеждането на мащабна кампания за кибершпионаж, на която са станали жертви италиански политици, предприемачи, юристи и масони. За случая, съобщават Bloomberg, Reuters и редица издания, както и сайтове на фирми, специализирани в ИТ сигурността. 

Обвинените са 45-годишния Джулио Очьонеро (Giulio Occhionero) и 48-годишната Франческа Мария Очьонеро (Francesca Maria Occhionero). Джулио е инженер по ядрена физика и съосновател на инвестиционната фирма Westland Securities.  
Хакерите са обвинени във взлом на 18 хил. e-mail акаунта, с помощта на използване на вредоносния софтуер EyePiramid. 

ИТ сигурност



Сред пострадалите от техните атаки са президентът на Европейската централна банка Марио Драги, двама бивши мистър-председатели на Италия Матео Ренци и Марио Монти, кардинал Джанфранко Равази, който е председател на Папския съвет по културата и Папската комисия по свещена археология, Стафано Бизи – италиански журналист, който от 2014 г. е начело на влиятелната масонска организация в Италия “Grande Oriente d'Italia”. Впрочем Джулио Очьонеро също е член на тази организация.
Към момента Джулио Очьонеро категорично отрича обвиненията и казва, че не се е занимавал с кибершпионаж.

 
Технологията за взлом
Според изводите на полицията, в своите атаки злонамерените лица са използвали вируса EyePyramid, който е изпращан на жертвите чрез фишингови писма. След това вредният код е осъществявал кражба на данни, които са изпращани към сървъри в САЩ. 
Полицията е спряла работата на два сървъра, които Очьонеро са използвали за управлението на ботнета EyePyramid, но техният анализ още не е завършен. 

 
Противоречия
Експерти по киберсигурност коментират различни аспекти на случая. 
Прави впечатление, че оперативната маскировка на цялата шпионска кампания е много слаба  - атаките са провеждани директно от IP адреси, принадлежащи на фирмата на Очьонеро. Братът и сестрата са обсъждали открито своите жертви по телефона и WhatsApp. 
Независимо от очевидните си слаби места обаче, шпионската кампания е провеждана успешно няколко години – първите кражби на информация са от 2010 г. 
Същевременно, анализът на вредния код EyePyramid води до интересни резултати – например, в някои фрагменти от кода са прилагани различни методи за обфускация (т.е. писане на кода, по начин затрудняващ разбирането на използвания алгоритъм). 
“Това, което на пръв поглед изглежда ‘наивен’ код написан на .NET (версия 4.5x или по-висока), при внимателно разглеждане се оказва нещо значително по-хитро. След стандартна обфускация, която може да се направи с достатъчно разпространени средства, значими фрагменти от декомпилирания код също са подложени на обфускация, което затруднява откриването и анализа на вируса. Например, информацията за URL на контролните сървъри и за лицензионния ключ за MailBee бяха замаскирани много добре”, пишат експерти.

 
Във вредоносния софтуер са използвани API от платената библиотека, използвана за разработка на пощенски клиенти MailBee.NET.dll. Тези API са използвани за изпращане на откраднатите данни към пощенски адреси, контролирани от хакерите. Според някои източници, лиценз за библиотеката е закупен официално от Очьонеро и именно това е насочило полицията към него. 

 
“Историята, във вида, в който е представена от медиите към момента, изглежда доста противоречива. Ако Очьонеро действително е използвал IP адреси на собствената си компания за провеждането на атаките, а в своя вирус е ползвал API от библиотека, която е официално регистрирана на негово име, това е все едно касоразбивач да остави на местопрестъплението визитна картичка с домашния си адрес. Възникват подозрения, че Очьонеро е включен в цялата схема, за да отклони полицията от следите на истинските престъпници”, коментира представител на руската консултантска компания в сферата на сигурността "Монитор безопасности", на страниците на изданието cnews.ru. 

Следете публикациите в инфоцентър “ИТ сигурност” на сайта www.cio.bg

Професионални пътеки за сертифициране на експерта по киберсигурност

2016: година на трансформацията в киберсигурността

Българските организации обогатяват арсенала си от мерки и технологии за защита

12 въпроса за ИТ сигурността

Защита от кибер атаки в стил Сун Дзъ

ИТ сигурността днес: Нараснали рискове и намалени бюджети

ИТ сигурността през 2015 г. – положителни тенденции и предизвикателства

Информационната сигурност - време за избор на противодействаща или превантивна стратегия

10 значими тенденции в сферата на ИТ сигурността 

Превенция на корпоративен шпионаж

Когато защитите паднат (Не ако, именно когато)

Как да приложим "Тигрови мерки" за защита на информацията?

... и много други...


X