Comunicati stampa

EyePyramid – una prima analisi

Cosa è successo e come?

Tags: EyePyramid, Italia, governo, cyberspionaggio, malware

Trend Micro, leader globale nelle soluzioni di sicurezza informatica, presenta una prima analisi a caldo sull’operazione EyePyramid, a cura di Federico Maggi, Senior Threat Researcher.

L’analisi si basa sull’Ordinanza di Custodia Cautelare del GIP dott. M. P. Tomaselli (PDF) oltre a una serie di analisi condotte dal ricercatore su fonti pubbliche e cerca di limitarsi alle questioni tecnicamente rilevanti, tralasciando informazioni personali come nomi e cognomi di facile reperibilità.

Cosa è successo?
Furto di informazioni riservate quali, ad esempio:

  • 18.327 username
  • 1.793 password
  • dati digitati via tastiera (rubati attraverso un keylogger)

Si stimano circa di 87GB di dati, che ovviamente vanno oltre quanto elencato qui sopra. Sull’Ordinanza altri dettagli.

Quando?
Dal 2012 ad oggi.
Precedenti versioni del malware impiegato (di origini sconosciute, salvo speculazioni) sembrano essere state impiegate nel 2008, 2010, 2011 e 2014 in diverse campagne di spear-phishing.

Contro chi?
Le informazioni riservate oggetto di furto sono riferite, prodotte o in altro modo appartenenti a: professionisti, privati e pubblici, operanti in settori chiave dello Stato.

I domini degli indirizzi email sono:

  • istruzione.it
  • gdf.it
  • bancaditalia.it
  • camera.it
  • senato.it
  • esteri.it
  • tesoro.it
  • finanze.it
  • interno.it
  • istut.it
  • matteorenzi.it
  • partitodemocratico.it
  • pdl.it
  • cisl.it
  • comune.roma.it
  • regione.campania.it
  • regione.lombardia.it
  • unibocconi.it


Come?

L’aggressore (o gli aggressori) ha seguito questi passi:

  1. Preparano (meglio, riutilizzano una versione modificata di) un malware che sembra fare hooking delle API di MailBee.NET.dll (una libreria .NET usata per creare applicazioni di posta elettronica) per intercettare i dati gestiti dai programmi di posta elettronica. In particolare, la chiave di licenza del componente MailBee sarebbe (? = illeggibile) MN600-D8102?501003102110C5114F1?18–0E8CI
  2. Compromette (non si sa bene come) alcune caselle email (sono almeno 15 quelle note), in particolare caselle appartenenti a vari studi legali
  3. Si collega alla rete Tor (per quanto informazione poco utile, l’unico exit node noto è 37.49.226[.]236)
  4. Attraverso un mail server (tra quelli noti c’è il mail server di Aruba 62.149.158[.]90) invia delle mail alle vittime usando come mittente un indirizzo email delle caselle compromesse, contenenti un allegato malevolo (c’è chi sostiene che si tratti di un PDF: fonte non certa)
  5. Attende che le vittime aprano gli allegati, avviando quindi il malware
  6. Il malware invia i dati sottratti verso diverse caselle di posta gestite dall’aggressore


Dettagli

Indirizzi email

Usati attualmente per raccogliere le informazioni riservate

  • gpool@hostpenta[.]com
  • hanger@hostpenta[.]com
  • hostpenta@hostpenta[.]com
  • ulpi715@gmx[.]com — incerto


Usati nel 2010 allo stesso scopo

  • purge626@gmail[.]com
  • tip848@gmail[.]com
  • dude626@gmail[.]com
  • octo424@gmail[.]com


Usati come mittenti delle mail di spear-phishing

  • antoniaf@poste[.]it
  • mmarcucci@virgilio[.]it
  • i.julia@blu[.]it
  • g.simeoni@inwind[.]it
  • g.latagliata@live[.]com
  • rita.p@blu[.]it
  • b.gaetani@live[.]com
  • gpierpaolo@tin[.]it
  • e.barbara@poste[.]it
  • stoccod@libero[.]it
  • g.capezzone@virgilio[.]it
  • baldarim@blu[.]it
  • ?.elsajuliette@blu[.]it
  • dipriamoj@alice[.]it
  • izabelle.d@blu[.]it



Altri:

  • u_1974@hotmail[.]com


Host (C&C)

  • eyepyramid[.]com
  • hostpenta[.]com
  • ayexisfitness[.]com
  • enasrl[.]com
  • eurecoove[.]com
  • marashen[.]com
  • millertaylor[.]com
  • occhionero[.]com
  • occhionero[.]info
  • wallserv[.]com
  • westlands[.]com


URL

  • hostpenta[.]com/contacts
  • westlands[.]com/Web/Sites/hostpenta[.]com


IP (C&C)

  • 217.115.113[.]181 (Irlanda)
  • 216.176.180[.]188 (Seattle, Washington, Stati Uniti)
  • 65.98.88[.]29 (Clifton, New York, Stati Uniti)
  • 199.15.251[.]75 (Baltimore, Maryland, Stati Uniti)
  • 216.176.180[.]181 (Seattle, Washington, Stati Uniti)


Nomi di file

  • InfoPyramid.accdb — database trovato su hostpenda[.]com contenenente i dati esfiltrati
  • hiwater.mrk
  • smtps.xml
  • graph.bak
  • tasks.xml
  • alerts.txt


Compilazione e stralci di informazioni relative al codice sorgente

  • Visual Studio (software usato per compilare “Eye Manager,” questo sarebbe il nome del software di gestione)
  • Hangeron (modulo)
  • Mailfaker (modulo)
  • fHangeron.Menu.Web.vb (file)
  • m.Core.vb (file)
  • cEmailJob.vb (file)
  • mWakeUP.vb
  •  ds1 (variabile)
  • ms1 (variabile)
  • dc1 (variabile)
  • ds2 (variabile)
  • ms2 (variabile)
  • dc2 (variabile)


Altre stringhe

  • MDaemon
  • MailDemon (interessante: un tecnico avrebbe usato “MailDaemon”, salvo che non si tratti di un errore di trascrizione)
  • InfoPyramid
  • MN600–849590C695DFD9BF69481597241E-668C (chiave di licenza del componente .NET MailBee)
  • MN600–841597241E8D9BF6949590C695DF-774D (chiave di licenza del componente .NET MailBee)
  • MN600–3E3A3C593AD5BAF50F55A4ED60F0–385D (chiave di licenza del componente .NET MailBee)
  • MN600-AD58AF50F55A60E043E3A3C593ED-874A (chiave di licenza del componente .NET MailBee)
  • PCMDPWD (tiro a indovinare: PC Mail Daemon Password?)
  • WEBDECCERTPWDNFW


A cura di Federico Maggi, Senior Threat Researcher Trend Micro.

Seguiranno nel corso della giornata ulteriori aggiornamenti, gli update saranno pubblicati anche all’interno del blog.trendmicro.com
 

Informazioni su Trend Micro

Trend Micro Incorporated (TYO: 4704), leader globale di software e soluzioni di protezione, vuole rendere il mondo sicuro per lo scambio di informazioni digitali. Negli ultimi 25 anni, i suoi dipendenti si sono dedicati a proteggere i singoli clienti, le famiglie, le aziende e gli enti pubblici nel percorso volto a controllare il potenziale delle tecnologie emergenti e i nuovi modi di condividere le informazioni.

Nelle aziende odierne, le informazioni sono diventate la risorsa più strategia: rappresentano il vantaggio sulla concorrenza e alimentano l’eccellenza operativa. Con l’esplosione delle tecnologie mobile, social e in-the-cloud, proteggere queste informazioni è diventato più arduo che mai. Alle aziende serve una strategia di protezione intelligente.

Trend Micro assicura la protezione intelligente di informazioni, con soluzioni di sicurezza innovative facili da implementare e gestire e adatte all’ecosistema in evoluzione. Le soluzioni Trend Micro assicurano una protezione dei contenuti miltilivello a tutela di dispositivi mobili, endpoint, gateway, server e cloud. Sfruttando queste soluzioni, le aziende proteggono utenti finali, datacenter in evoluzione e risorse in-the-cloud, oltre alle informazioni minacciate da sofisticati attacchi mirati.
Tutte le soluzioni si affidano alle informazioni globali sulle minacce in-the-cloud, Trend Micro™ Smart Protection Network™, e agli oltre 1200 esperti di minacce globali.

Informazioni aggiuntive su Trend Micro Incorporated e su soluzioni e servizi sono disponibili su www.trendmicro.it. In alternativa, tenetevi informati sulle nostre novità tramite Twitter all’indirizzo @TrendMicroItaly.