Cyberspionaggio, la pista dei contatti Usa per vendere informazioni

Mercoledì 11 Gennaio 2017 di Valentina Errante e Sara Menafra
Cyberspionaggio, la pista dei contatti Usa per vendere informazioni
3

Un sistema di intrusione infallibile, capace di spiare senza essere scoperto, migliaia di file che contenevano tutto: dal pettegolezzo della provincia italiana alle più preziose informazioni sulle grandi società e sugli affari, con una rete che porta di certo Oltreoceano. I fratelli Occhionero avevano in mano le informazioni sui più importanti investimenti finanziari, sui segreti «politico militari», accedevano alle informazioni di venti studi legali che curano gli affari della finanza internazionale. Tre i livelli, a seconda del contenuto, dei documenti raccolti: le informazioni sull’alta finanza erano utili per i grandi affari all’estero, le notizie sulla politica nazionale per anticipare mosse e gestire il potere, infine le informazioni private per i piccoli ricatti personali. Un turbinio di indiscrezioni che, è l’ipotesi degli inquirenti, vedeva gli indagati parte di una rete internazionale che vendeva informazioni anche all’estero. La loro Westland securities, infatti, ha lavorato come consulente per il governo americano in alcune infrastrutture del porto di Taranto e il server in cui tenevano i delicatissimi file era anch’esso negli Usa, una scelta che nessun pirata informatico “solitario” avrebbe mai condiviso. Adesso tutte le informazioni riservate sono in mano all’Fbi, col rischio che quei segreti finiscano per attivare un pericoloso effetto boomerang per l’Italia.

GEOLOCALIZZAZIONE
Una forma di archiviazione maniacale delle informazioni rubate e un sistema di controllo assoluto sulle vittime, che venivano anche geolocalizzate, così funzionava il virus: «L’attività illecita di dossieraggio - scrive il gip - era stata attivata anni orsono e non era mai cessata, come testimonia il dato che, durante tutto il periodo di osservazione compiuta dagli operanti e dai loro ausiliari, il malware era oggetto di continua evoluzione. Veniva riscontrato che nel mese di luglio vi sono state aggiunte due nuove classi, aventi il compito, rispettivamente, di creare alert in base ad una lista di parole chiave e di geolocalizzare la vittima in base all’indirizzo Ip. Significativa è soprattutto la prima delle due classi, in base alla quale nel momento in cui una delle keyword impostate veniva rinvenuta all’interno di un messaggio email ricevuto da una vittima, questo veniva automaticamente copiato e inviato verso il server. Inoltre, con una nuova forma di controllo da remoto dei sistemi informatici in uso alle vittime, denominata “PolyCommand”, era possibile inviare comandi alle vittime sotto forma di messaggi email».

L’ARCHIVIAZIONE
Erano 18327 gli usermame che i due hacker erano riusciti ad infettare, divisi maniacalmente in 122 categorie “Nick” distinte per tipologie di target. Tra le centinaia, spiccano “Tabu”, ovvero l’affare nel porto di Taranto, “Pobu”, ossia political and business, Bros, i massoni. Cartelle e sottocartelle informatiche custodivano tutti i segreti carpiti dagli indagati. Pobu, in particolare, raggruppa 674 account, per 29 c’è anche la password. Bros, invece, contiene 524 indirizzi di posta elettronica «relativi a 338 nominativi univoci, verosimilmente appartenenti a membri della massoneria».

L’ATTACCO A ENAV
L’attacco informatico da cui parte l’inchiesta è quello nei confronti della società pubblica ma quotata, Enav. Siamo nel marzo 2016, proprio mentre l’ente del trasporto aereo si sta quotando a Piazza Affari. E il responsabile sicurezza scopre e denuncia alla Postale che i computer aziendali sono stati infettati con un malware, l’Eye Pyramid «già noto a partire dal 2008 in quanto all’epoca utilizzato in una massiccia e duratura campagna di attacchi informatici mirati». «Una volta installato - scrive il gip - non solo garantisce all’attaccante il pieno controllo da remoto del sistema infettato, ma permette l’integrale sottrazione di documenti o di altre informazioni, incluse quelle riservate».

LA TALPA
A un certo punto però, qualcuno deve aver avvertito Giulio Occhionero che il suo gioco rischiava di essere scoperto. Aveva una talpa, forse proprio in procura: «È emersa - scrive il gip - la sussistenza di una rete di contatti che consente agli Occhionero di acquisire informazioni riguardo il presente procedimento penale, come ha ampiamente dimostrato l’attività di intercettazione da ultimo registrata, ed una precisa volontà di conoscerne i particolari ed influenzarne gli esiti». E’ il 4 ottobre 2016 quando i fratelli criptano e distruggono i file in loro possesso. Non solo, lo stesso giorno l’Fbi di Washington e Seattle, ai quali Albamonte si era rivolto per il congelamento dei dati contenuti nei server, comunicava al pm che la società proprietaria dei file aveva chiesto di scollegarli dalla rete e spedirglieli. Il giorno successivo, il 5 ottobre, la polizia si presenta in casa di Occhionero.

Si legge nell’ordinanza: «Francesca Maria nel corso della perquisizione effettuata nell’abitazione della madre ove era stato rinvenuto un pc, acceso e bloccato sulla schermata di login, alla richiesta di fornire la password di accesso ha digitato più volte una password errata, causando il blocco definitivo della smart card». Poi, con un «gesto repentino lanciandosi verso il pc portatile acceso e, dopo aver inutilmente tentato di impartire comandi dalla tastiera, riusciva a sfiorare la smart card in esso inserita, sfilandola leggermente dalla sua sede e causando il blocco del sistema operativo».

© RIPRODUZIONE RISERVATA

Ultimo aggiornamento: 12 Gennaio, 09:06 © RIPRODUZIONE RISERVATA

PIEMME

CONCESSIONARIA DI PUBBLICITÁ

www.piemmemedia.it
Per la pubblicità su questo sito, contattaci