Cyberspionaggio, via il capo della polizia postale: "Sottovalutò l'indagine"
L'attuale direttore è accusato di aver sottovalutato la portata dell'indagine sullo spionaggio. Intanto l'Espresso attacca: i due fratelli Occhionero avrebbero avuto legami con Salvatore Buzzi e Mafia Capitale
Il capo della polizia Franco Gabrielli ha disposto l'assegnamento dell'attuale direttore della polizia postale, Roberto Di Legami, a un nuovo incarico. Tra i motivi alla base della decisione c'è anche l'aver sottovalutato la portata dell'indagini sullo spionaggio dei politici senza informare i vertici del Dipartimento di pubblica sicurezza.
MAFIA CAPITALE - Intanto il settimanale l'Espresso, sul proprio sito, parla di legami tra i fratelli Occhionero, arrestati dalla polizia della Polizia sul cyberspionaggio, e Mafia Capitale: i due avrebbero aministrato società collegate a Salvatore Buzzi, uno dei principali imputati nel processo contro l'associazione a delinquere attiva a Roma a partire dal 2000 circa. Francesca Maria e Giulio Occhionero sono stati “rispettivamente presidente del cda e amministratore della Rogest, oggi fallita, una delle società immobiliari riferibili a Salvatore Buzzi e alla cooperativa 29 giugno finite sotto sequestro giudiziario a giugno del 2015”. Gli Occhionero, prosegue il settimanale, “hanno svolto il loro ruolo in Rogest per circa un anno e mezzo fra il 2006 e il 2007.
COSI' SPIAVANO POLITICI E ISTITUZIONI - L'attività investigativa è stata avviata quando "il centro nazionale anti crimine informatico della Polizia Postale, il Cnaipic, ha ricevuto da parte di un amministratore di un'infrastruttura critica nazionale la segnalazione dell'arrivo di una mail strana, con mittente sospetto. Attraverso l'analisi di questa comunicazione è emerso che conteneva un malware, riconducibile a un cittadino italiano", ha spiegato a Cyber Affairs il direttore della Polizia Postale e delle Comunicazioni, Roberto Di Legami.
La segnalazione, rimarca il direttore della Polizia Postale, "ha portato alla scoperta di una rete, particolarmente estesa, di computer infetti da questo malware chiamato EyePyramid, con un chiaro riferimento massonico. Si tratta del primo attacco Apt di questo tipo (advanced persistent threat, ndr) che rileviamo in Italia. Per anni, grazie a questa attività, i responsabili di queste operazioni hanno ottenuto informazioni sensibili e notizie riservate, inviandoli a un centro di comando e controllo situato negli Stati Uniti. Da qui i dati venivano poi smistati in oltre dieci drop zone dislocate sempre negli Usa. Poi, con pazienza certosina, quanto raccolto veniva ordinato in singole cartelle che identificavano le vittime: ad esempio sotto la sigla Bros - fratelli - sono stati rinvenuti gli appartenenti a logge massoniche, mentre in una cartella chiamata Pobu (Politicians Business), erano catalogati gli osservati appartenenti al mondo politico".
I fratelli Occhionero sono accusati di aver realizzato una vera e propria centrale di spionaggio tramite una botnet, una vasta rete di computer creata infettando altri dispositivi tramite EyePiramid, un malware vecchio e poco conosciuto ma già utilizzato in attacchi informatici mirati, che consente di avere il pieno controllo del dispositivo infettato.
MA COME E' STATO POSSIBILE? - Secondo Corrado Giustozzi, esperto di sicurezza cibernetica presso l'Agenzia per l'Italia Digitale per lo sviluppo del CERT della Pubblica Amministrazione e membro del Permanent Stakeholders' Group dell'Agenzia dell'Unione Europea per la Sicurezza delle Reti e delle Informazioni (Enisa), tre elementi in particolare sarebbero entrati in gioco: "la fiducia riposta dalle vittime nei confronti delle persone o strutture da cui proveniva l'attacco - ad esempio, la fiducia da parte del destinatario di una mail infetta nei confronti di chi gliel'ha inviata; la mancanza di protezioni necessarie a identificare malware così pericolosi ma facilmente reperibili nel Dark Web; l'esistenza di una capillare rete di fiancheggiatori o 'mandanti' che probabilmente emergerà con il prosieguo delle indagini".
LA SPIEGAZIONE TECNICA - "Paradossalmente - spiega Giustozzi a Cyber Affair - condurre operazioni di questo tipo che fanno affidamento su tecniche di spear phishing attraverso le quali 'inoculare' il virus nel dispositivo della vittima è più facile per un amico o conoscente, seppur con risorse limitate, che non per un attore statale che può contare su ingenti denari. Lo scoglio maggiore da superare per l'attaccante, quello di instaurare un rapporto di fiducia con la potenziale vittima, è infatti in questo caso già automaticamente superato". "Inoltre", aggiunge l'esperto, "attacchi del tipo APT - Advanced Persistent Threat - sono molto diluiti nel tempo, ossia difficilmente identificabili, soprattutto con difese non eccessivamente all'avanguardia. Questo vuol dire che il malware ha tutto il tempo di restare in silenzio nel sistema infettato e guardarsi attorno per cercare ciò che serve, spesso l'accesso al Pc di un personaggio più influente. Così da una semplice segretaria, con lenti e mirati 'movimenti laterali', è possibile arrivare a un Ad o a un capo di Governo". Infine, commenta Giustozzi, "certi tipi di strumenti di cyber spionaggio si trovano ormai in vendita in Rete a costi tutt'altro che proibitivi: ecco spiegato come sia possibile mettere in piedi un'operazione così sofisticata e longeva partendo da qualche conoscenza".
