Арестованы хакеры брат и сестра, шпионившие за политиками и масонами

Арест семьи хакеров Полиция задержала двух хакеров (брата и сестру), которыхобвиняют во взломе как минимум 18 тыc. почтовых аккаунтов с помощьювредоносного ПО EyePiramid. Среди жертв Джулиои Франчески Марии Оччьонеро (GiulioOcchionero, Francesca Maria Occhionero) оказались президент Европейского центральногобанка Марио Драги (Mario Draghi),двое бывших премьер-министров Италии МаттеоРенци (Matteo Renzi) и Марио Монти(Mario Monti), кардинал ДжанфранкоРавази (Gianfranco Ravasi), председатель Папского совета по культуре и Папскойкомиссии по священной археологии СтефаноБизи (Stefano Bisi), итальянский журналист и писатель, с 2014 г.возглавляющий «Великий Восток Италии» — наиболее влиятельную масонскуюорганизацию страны. Инженер-ядерщик Джулио Оччьонеро также является членом этойложи. На данный момент он категорически отрицает, что занимался кибершпионажем. Технология взломов Согласно выводам полиции, в своих атаках злоумышленникииспользовали зловред EyePyramid, который рассылался жертвам посредствомспиэр-фишинговых писем. Зловред затем занимался кражей данных, которыепересылались на серверы в США. http://filearchive.cnews.ru/img/zoom/2017/01/20/massony_700.jpg"> Брат и сестра занимались шпионажем за множеством известных людей в Италии Полиция нейтрализовала два сервера, которые Оччьонероиспользовали для управления ботнетом EyePyramid, но их анализ ещё непроизводился. [b]Выводы российскихспециалистов[/b] «Лаборатория Касперского» опубликовала свой анализEyePyramid, назвав зловред «кустарным» и легко опознаваемым. Оперативнаямаскировка всей кампании также была очень слабой: атаки производились прямо сIP-адресов, используемых организацией, принадлежащей Оччьонеро. Своих жертвбрат и сестра открыто обсуждали по телефону и WhatsApp. При задержании онитщетно пытались скрыть улики. Несмотря на очевидные слабые места, кампания успешнопродолжалась несколько лет: первые сэмплы датированы 2010 г., а пик активностипришелся на 2014-2015 гг. [b]Нестандартная специфика[/b] Стоит отметить, что анализ зловреда, проведенный TrendMicro,показывает довольно странные вещи: например, в разных фрагментах кодаиспользованы разные методы обфускации. «То, что на первый взгляд выглядит как "наивный"код, написанный на .NET (>=4.5.x), при ближайшем рассмотрении оказываетсячем-то более хитрым, — пишут эксперты. — После стандартной обфускации, которуюможно снять с помощью штатных средств, значимые фрагменты декомпилированногокода также подвергнуты обфускации, что усложняет обнаружение и анализ зловреда.Например, информация об URL контрольных серверов и лицензионном ключеMailBee... были очень хорошо замаскированы». Во вредоносном ПО использовались API платной библиотеки,используемой для разработки почтовых клиентов, — MailBee.NET.dll. Эти APIиспользовались для переправки похищенных данных на почтовые адреса,контролируемые злоумышленниками. По данным TrendMicro, библиотека былаофициально приобретена на имя самого Оччьонеро, и именно благодаря этомуполиция и смогла выйти на него. [b]Предполагаемаяподоплека[/b] «История, как ее подают СМИ на данный момент, выглядит оченьнеоднозначной. Если Оччьонеро действительно использовал IP-адреса собственнойкомпании для проведения атак, а в своем зловреде — API библиотеки, которая былаофициально лицензирована на его имя, то это все равно как если бы взломщиксейфа оставил на месте преступления визитную карточку с домашним адресом, —говорит [b]Дмитрий Гвоздев[/b], генеральныйдиректор компании "Монитор безопасности". — Возникают подозрения, чтоОччьонеро могли подставить, чтобы сбить полицейских со следа настоящихпреступников. С другой стороны, сегодня, чтобы быть успешным киберпреступником,не надо быть гениальным программистом или хакером, и даже собственный софтразрабатывать совершенно не обязательно: весь нужный инструментарий длякибератак можно найти на черном рынке. Достаточно только знать, что именно тебенужно». Гвоздев также добавил, что иногда и весьма старые эксплойтыи трояны сохраняют эффективность в течение долгого времени: пользователи иорганизации слишком часто пренебрегают основами кибербезопасности и слишкомлегко попадаются на приманки фишеров.[img]http://filearchive.cnews.ru/img/zoom/2017/01/20/massony_700.jpg"> Брат и сестра занимались шпионажем за множеством известных людей в Италии Полиция нейтрализовала два сервера, которые Оччьонероиспользовали для управления ботнетом EyePyramid, но их анализ ещё непроизводился. Выводы российскихспециалистов «Лаборатория Касперского» опубликовала свой анализEyePyramid, назвав зловред «кустарным» и легко опознаваемым. Оперативнаямаскировка всей кампании также была очень слабой: атаки производились прямо сIP-адресов, используемых организацией, принадлежащей Оччьонеро. Своих жертвбрат и сестра открыто обсуждали по телефону и WhatsApp. При задержании онитщетно пытались скрыть улики. Несмотря на очевидные слабые места, кампания успешнопродолжалась несколько лет: первые сэмплы датированы 2010 г., а пик активностипришелся на 2014-2015 гг. Нестандартная специфика Стоит отметить, что анализ зловреда, проведенный TrendMicro,показывает довольно странные вещи: например, в разных фрагментах кодаиспользованы разные методы обфускации. «То, что на первый взгляд выглядит как "наивный"код, написанный на .NET (>=4.5.x), при ближайшем рассмотрении оказываетсячем-то более хитрым, — пишут эксперты. — После стандартной обфускации, которуюможно снять с помощью штатных средств, значимые фрагменты декомпилированногокода также подвергнуты обфускации, что усложняет обнаружение и анализ зловреда.Например, информация об URL контрольных серверов и лицензионном ключеMailBee... были очень хорошо замаскированы». Во вредоносном ПО использовались API платной библиотеки,используемой для разработки почтовых клиентов, — MailBee.NET.dll. Эти APIиспользовались для переправки похищенных данных на почтовые адреса,контролируемые злоумышленниками. По данным TrendMicro, библиотека былаофициально приобретена на имя самого Оччьонеро, и именно благодаря этомуполиция и смогла выйти на него. Предполагаемаяподоплека «История, как ее подают СМИ на данный момент, выглядит оченьнеоднозначной. Если Оччьонеро действительно использовал IP-адреса собственнойкомпании для проведения атак, а в своем зловреде — API библиотеки, которая былаофициально лицензирована на его имя, то это все равно как если бы взломщиксейфа оставил на месте преступления визитную карточку с домашним адресом, —говорит Дмитрий Гвоздев, генеральныйдиректор компании "Монитор безопасности". — Возникают подозрения, чтоОччьонеро могли подставить, чтобы сбить полицейских со следа настоящихпреступников. С другой стороны, сегодня, чтобы быть успешным киберпреступником,не надо быть гениальным программистом или хакером, и даже собственный софтразрабатывать совершенно не обязательно: весь нужный инструментарий длякибератак можно найти на черном рынке. Достаточно только знать, что именно тебенужно». Гвоздев также добавил, что иногда и весьма старые эксплойтыи трояны сохраняют эффективность в течение долгого времени: пользователи иорганизации слишком часто пренебрегают основами кибербезопасности и слишкомлегко попадаются на приманки фишеров.