Page 75 - Rassegna 2019-4
P. 75
SICUREZZA INFORMATICA E NUOVE FRONTIERE DEL DIRITTO PENALE
Il caso ha evidenziato la vulnerabilità degli attuali database digitali, troppo
spesso allocati in rete senza adeguate protezioni (nell’accezione più estensiva
del termine) di fronte alla formidabile varietà degli attacchi informatici “APT”
(Advanced Persistent Threat) ad oggi conosciuta, perpetrabili da remoto e nel
(13)
quasi totale anonimato. Nel caso di specie, ad avvalorare ancor di più l’alto pro-
filo di competenza (e, quindi, di pericolosità) dell’ing. Occhionero, gli esperti
del CNAIPIC (Centro nazionale anticrimine informatico per la Protezione
delle Infrastrutture Critiche) del Servizio di Polizia postale e delle comunicazio-
ni hanno constatato che il software utilizzato dallo spyware si è evoluto nel
(14)
tempo: nuove funzionalità sono state via via aggiunte, così da addivenire, nel-
l’ultima variante di EyePyramid rinvenuta dagli inquirenti, alla possibilità di:
- geo-localizzare le vittime a partire dal relativo IP;
- inviare comandi ai pc “target” sotto forma di email provenienti da
account precedentemente infettati mediante una funzione di controllo da
remoto denominata PolyCommand, così da mascherare ulteriormente la reale
identità degli autori delle intrusioni illecite;
- acquisire lo status di amministratori locali del computer da infettare, al fine
di disabilitare il proprio software antivirus prima dell’esecuzione del malware;
- generare degli “alert” in base ad alcune parole chiave: nel momento in cui una
delle keyword impostate veniva rinvenuta all’interno di un messaggio email ricevuto da
una vittima, questo veniva automaticamente copiato ed inviato verso il server di C&C;
- esfiltrare, oltre ai contenuti delle mail, i file in formato “gph” contenenti
gli elenchi di indirizzi di posta elettronica verosimilmente utilizzati per delineare
quali fossero le persone più “vicine” alla vittima, la lista dei siti “preferiti”, la
cronologia della navigazione in internet (comprese, ad esempio, le ricerche
(13) Gli attacchi “APT” non funzionano come quelli di tipo tradizionale, poiché nettamente
diverse sono le finalità che li muovono: mentre nel caso classico vengono diffusi malware per
infettare il maggior numero di computer possibile (quanto più ampia è la rete sottesa, mag-
giore sarà l’opportunità di rubare soldi, risorse informatiche e qualsiasi altro dato di interes-
se), negli attacchi in stile “APT”, invece, l’interesse è concentrato principalmente sul compu-
ter di una persona specifica poiché si ritiene che questo contenga specifici dati di valore. Per
procedere alla sua infezione, tuttavia, può venire individuata una filiera più o meno articolata
di “soft targets” che, facendo parte della medesima struttura, non posseggano i profili di
sicurezza dei bersagli apicali, pur avendo la capacità di comunicare direttamente con loro (a
mezzo mail aziendale e/o privata). In tal modo i loro pc verranno usati per raggiungere ed
infettare (via phishing) quelli di reale interesse. Ciò spiega perché gli hackers, tendenzialmente,
colpiscano obiettivi sempre più “oscuri” e lontani dall’obiettivo finale, organizzando attacchi
a catena per raggiungere le vittime designate. La gamma dei potenziali bersagli di un attacco
“APT” è dunque molto più estesa di quanto ci si possa aspettare: grazie alla capillarità ed alla
velocità delle trasmissioni dati su web, chiunque può rientrarvi purché abbia a disposizione
una connessione a internet.
(14) Titolari delle attività di indagine (ribattezzata proprio “Eye Pyramid”) sotto il coordinamento
della Procura della Repubblica di Roma.
73
