EyePyramid: новичкам везет

История о том, как два начинающих хакера годами шпионили за итальянским правительством и ни разу не попались — до недавнего времени.

EyePyramid: Созданная на коленке программа успешно следила за итальянским правительством

Когда мы рассказываем о вредоносном ПО на Kaspersky Daily (а делаем мы это довольно часто), мы стараемся выбирать зловреды, от действий которых пострадало много людей. CryptXXX, TeslaCrypt и другие вредоносные программы, которые создали проблемы миллионам людей по всему миру, — прекрасный тому пример. Ну а если зловред был замечен лишь несколько раз, мы обычно не уделяем ему особого внимания: на свете существует столько вредоносных программ, что мы при всем желании не можем посвящать каждой отдельный пост.

Но правила — на то и правила, чтобы из них были исключения. Например, сегодня мы поговорим о зловреде под названием EyePyramid. Нет, это не мы назвали его «глазной пирамидкой», а его создатели. Почему именно о нем? Потому что он выделяется из сонма подобных себе, а его история в чем-то похожа на сказку, где обычный маленький человек добивается больших побед (но в конце все равно проигрывает). Такие, знаете, братья Гримм без адаптации для детей.

Семейный бизнес в области шпионажа

Начнем с того, что EyePyramid — это по большому счету семейный бизнес. Сам зловред был разработан 45-летним итальянцем Джулио Окионеро, физиком-ядерщиком по образованию. Распространением «пирамидки» он занимался вместе со своей 48-летней сестрой Франческой-Марией Окионеро (Francesca Maria Occhionero). Оба работали в небольшой инвестиционной компании Westland Investments.

По данным итальянской полиции, EyePyramid распространялся через целевую фишинговую рассылку, направленную в основном на верхушку итальянского парламента, а также на юридические и консультационные фирмы, университеты и даже кардиналов Ватикана. Но зачем?

После установки зловред обеспечивал хозяевам полный доступ к компьютеру жертвы. Единственной целью заражения была слежка и сбор данных, которые, как пишет издание SC Magazine, позже использовались в качестве инсайдерской информации для определения более прибыльных для инвестирования сделок. То есть EyePyramid де-факто был аналитическим инструментом. Если честно, я не очень понимаю связь между инвестициями и ватиканскими кардиналами, но злоумышленники ее видели.

Высокие должности жертв атаки, а также нежелание полиции распространяться об особенностях EyePyramid (за исключением адресов командных серверов и нескольких адресов электронной почты) побудили наших аналитиков из GReAT провести собственное расследование. И вот что они обнаружили.

Начинающие киберпреступники

Некоторые СМИ говорят, что EyePyramid — сложный и многоуровневый зловред. Но это не так. На самом деле это довольно простая программа.

На основе информации из полицейского отчета наши аналитики обнаружили целых 44 модификации EyePyramid, и это во многом прояснило историю. Некоторые СМИ говорят, что EyePyramid — сложный и многоуровневый зловред. Но это не так. На самом деле это довольно простая программа. Начинающие киберпреступники использовали примитивные методы — например, добавляли множество пробелов в название исполняемого файла, содержащего вредоносный код, с целью замаскировать его расширение. Удивительно простой и даже наивный трюк — но он сработал.

Также выяснилось, что семейство Окионеро начало вредоносную деятельность довольно давно: самые ранние образцы зловреда, которые нам удалось найти, датируются 2010 годом. Итальянские правоохранители утверждают, что киберпреступный дуэт мог действовать еще с 2008 года.

Так как опыта в области киберпреступлений у злоумышленников не было, они не смогли должным образом позаботиться о собственной безопасности. Вернее, они совершенно не озаботились собственной безопасностью, открыто обсуждая атаки на своих жертв по телефону (а телефонная линия, как всем известно, может прослушиваться правоохранителями при наличии ордера) и WhatsApp (который не использовал сквозное шифрование вплоть до 2016 года). Кроме того, незадачливые кибершпионы оставляли следы, ведущие на IP-адреса их компании.

Тем не менее, как заявляет полиция Италии, таким образом парочка работала по крайней мере три года, а то и более восьми лет, атаковав 16 тысяч жертв и получив доступ к компьютерам как минимум сотни из них. Благодаря этому брат и сестра Окионеро смогли собрать немало инсайдерской информации — а это десятки гигабайт данных, пригодившихся для более выгодной инвестиционной деятельности.

Сказке конец

Как бы то ни было, эта история показывает, что лучшие инвестиции — это инвестиции в собственное образование (в данном случае — в обучение информационной безопасности и получение знаний о том, как вообще проводятся подобные операции). 10 января ФБР арестовало Джулио и Франческу-Марию Окионеро, и сказке о том, как везет новичкам, пришел конец.

Удивительно то, что парочка вообще смогла так долго оставаться незамеченной, но, возможно, на то есть причина, и она кроется в простоте зловреда. EyePyramid казался слишком скучным для исследования, а сеть Kaspersky Security Network зарегистрировала только 92 попытки заражения за все время. Это просто капля в море по сравнению, например, с количеством атак популярных видов вымогателей. Тем не менее преступников все равно ждет суд, — значит, справедливость восторжествовала.

Советы