Due italiani, i “fratelli Occhionero”, sono stati arrestati ed accusati di aver utilizzato un malware, nome in codice “EyePyramid”, e di aver accuratamente preparato uno schema di spear-phishing per spiare politici e uomini di affari di alto profilo.
Abbiamo analizzato circa 250 esempi di malware EyePyramid. Da una parte, è certo che il codice sorgente originale è stato modificato solo in modo molto lieve (ad esempio, non tutte le varianti sono in grado di estrapolare le conversazioni Skype, C&C e dropzones, versioni del compilatore e i meccanismi di protezione). Dall’altra parte, i(l) comuputer usati(o) per costruire le diverse variazioni negli anni sembrano in linea con l’evoluzione degli strumenti developer Microsoft (basandosi sulla progressione della versione del compilatore) e degli strumenti di protezione software (come visto nella recente sostituzione di Skater + Dotfuscator con il più potente ConfuserEx). Questo indica che gli attori finali che producevano i file eseguibili del malware erano “tech savvy”.
A parte questo, le origini del malware EyePyramid e la sua attribuzione rimangono un mistero. Mentre la license key registrata a nome di Giulio Occhionero può essere considerata come una prova rilevante, non è chiaro perché un autore di malware dovrebbe preoccuparsi di usare (semplici eppure non così banali) meccanismi per coprire le sue tracce (ad esempio l’offuscamento, il packing, la crittografia, gli strumenti di disattivazione della sicurezza), e poi per errore embeddare la license key a suo nome in tutte le varianti principali. Inoltre, un’analisi dei dati storici del domain-to-IP dei nomi di dominio elencati nell’ordine della corte rivela domini come “occhionero.com” e “occhionero.info”, che sono un’altra stranezza.