DOTTRINA



             effettuate su Google), le chat su Skype, nonché le password memorizzate local-
             mente, comprese quelle relative alle reti wi-fi e quelle salvate dal browser nei
             campi di login (utilizzando il malware in modalità keylogger, ossia registrando sia
             ciò che viene digitato sulla tastiera che ogni azione effettuata sul pc come l’aper-
             tura o la modifica di documenti ecc.);
                  - salvare tutti i dati così registrati illecitamente su un database in formato
             “Access”.
                  Le indagini sono partite a seguito della segnalazione del responsabile sicu-
             rezza dell’ENAV S.p.a., l’avvocato Francesco Di Maio, il quale il 26 gennaio
             2016 è stato insospettito da una mail (con annesso allegato in pdf da aprire)
             ricevuta  dallo  studio  legale  di  un  noto  professionista  romano,  il  professor
             Ernesto  Stajano,  realmente  esistente  ma  con  cui  l’Ente  suddetto  non  aveva
             alcun rapporto. Veniva pertanto incaricata, in prima battuta, la società privata di
             consulenza informatica “Mentat Solutions S.r.l.” per svolgere le prime analisi
             tecniche  sul  messaggio  ricevuto:  queste  confermavano  la  presenza  di
             EyePyramid nell’allegato.  Una  volta  auto-installato  nella  rete  informatica
             dell’ENAV, il malware avrebbe permesso di accedere abusivamente ad una vasta
             gamma di informazioni relative alla sicurezza pubblica nel settore dell’aviazione
             civile, nonché di intercettare le comunicazioni informatiche e/o telematiche al
             suo interno. Inoltre, a seguito di una prima indagine sull’indirizzo IP del computer
             che aveva originato la trasmissione sospetta, la mail è risultata esser stata inviata
             attraverso un nodo di uscita della rete di anonimizzazione “Tor”; l’indirizzo
             stesso del professor Stajano è stato altresì individuato come facente parte di una
             serie di indirizzi di noti studi professionali “agganciati” mediante phishing .
                                                                                   (15)
                  I  tecnici  della  Mentat  sono  stati  in  grado  di  individuare  un  server  di
             “Command and Control” sul quale erano memorizzati i file relativi alla configura-
             zione delle macchine già compromesse dal medesimo virus , oltre a migliaia
                                                                       (16)
             di documenti informatici abusivamente esfiltrati. In particolare, gli accertamenti
             tecnici esperiti dimostravano che il malware, nella configurazione con cui era
             stato spedito, reinoltrava il contenuto delle caselle email @gmx.com (utilizzate
             per le descritte operazioni di data exfiltration) verso un account del dominio
             “hostpenta.com” (gpool@hostpenta.com), registrato sfruttando il servizio di
             whois privacy  offerto dalla società statunitense Perfect Privacy LLC con sede a
                        (17)
             (15)  L’attaccante, proprio in virtù dell’infezione informatica, era in possesso della relativa pas-
                  sword di accesso e ne aveva quindi la piena disponibilità.
             (16)  Sul server erano presenti 1.133 file di configurazione, evidente indice di un egual numero di
                  macchine infettate.
             (17)  Il database whois è una banca dati pubblica in cui vengono raccolte tutte le informazioni dei
                  titolari dei nomi registrati a dominio. La possibilità di consultare pubblicamente il database

             74