19/01/2017

EyePyramid: beztroski szkodliwy program

Zagrożenia

Gdy piszemy o szkodliwych programach tu, na Kaspersky Daily — a piszemy dosyć często — zazwyczaj wybieramy do opisania te, które według naszych informacji zaatakowały wiele osób. Na przykład CryptXXX czy TeslaCrypt zaatakowały miliony osób na całym świecie. Szkodliwe programy, które zostały wykryte zaledwie kilka razy, zazwyczaj nie przykuwają takiej uwagi. Jest ich przecież wiele, a wszystkim nie sposób poświęcić tu miejsca.

Lecz każda reguła ma swój wyjątek. Dzisiaj opowiemy Wam o malware o nazwie EyePyramid. Nie, to nie my nadaliśmy mu nazwę, lecz jego twórcy. Opowiemy Wam o EyePyramid dlatego, że nie jest on taki jak pozostałe szkodliwe programy. Jego historia jest jak z bajki, w której mały człowiek osiągnął naprawdę sporo (a na końcu popełnił błąd).

Włoska rodzina, która trudni się szpiegowaniem

Zacznijmy od tego, że EyePyramid był zajęciem rodzinnym. Szkodliwy program został utworzony przez 45-letniego Włocha o imieniu Giulio Occhionero, który ukończył studia związane z inżynierią jądrową. Wraz z siostrą, Francescą Marią Occhionero, lat 48, dystrybuował wspomniany szkodliwy program. Pracowali razem w małej firmie zajmującej się inwestycjami, Westland Investments.

Według opublikowanego niedawno raportu włoskiej policji EyePyramid był rozsyłany przy użyciu phishingu ukierunkowanego i atakował przeważnie najbardziej znaczących członków włoskiego rządu, a także masonów, kancelarie prawne, firmy doradcze, uniwersytety oraz… watykańskich kardynałów.

Jaki był cel ataków? Po zainstalowaniu szkodliwy program umożliwiał swoim twórcom dostęp do wszystkich zasobów znajdujących się na komputerach ofiar. Jego jedynym zadaniem było gromadzenie informacji, które według magazynu SC Magazine były rzekomo wykorzystywane do przeprowadzania korzystniejszych inwestycji. Można powiedzieć, że program ten był używany jako narzędzie analityczne. Osobiście nie bardzo widzę powiązanie pomiędzy inwestycjami a kardynałami, ale może przestępcy jakieś widzieli.

Wysokie pozycje zajmowane przez ofiary, jak również fakt, że włoska policja nie ujawniła zbyt wielu szczegółów dotyczących zagrożenia EyePyramid (poza adresami serwerów kontroli i kilkoma adresami e-mail, które zostały użyte) — przyciągnęły uwagę ekspertów z naszego zespołu GReAT. I to na tyle, że zdecydowali się oni przeprowadzić własne śledztwo.

Wykrycie cyberprzestępstwa

Niektóre media twierdzą, że EyePyramid to program skomplikowany i wyrachowany. W rzeczywistości jest on dosyć prosty

Korzystając z informacji zamieszczonych w policyjnym raporcie, nasi analitycy odnaleźli całe 44 różne próbki zagrożenia EyePyramid, co pomogło nam wiele zrozumieć. Niektóre media twierdzą, że EyePyramid to program skomplikowany i wyrachowany. W rzeczywistości jest on dosyć prosty. Cyberprzestępczy duet korzystał z niezbyt subtelnych metod: na przykład używał wielu spacji w celu maskowania rozszerzenia pliku wykonywalnego, który zawierał szkodliwy program. To prosty, lecz skuteczny trik.

Ponadto okazało się, że rodzina Occhionero rozpoczęła swoją przestępczą działalność stosunkowo dawno temu — najwcześniejsze odnalezione przez nas próbki sięgają roku 2010. Włoscy oficerowie twierdzą, że para mogła być aktywna od roku 2008.

Będąc początkującymi osobami w dziedzinie cyberprzestępczości, twórcy opisywanego programu nie zadbali należycie o bezpieczeństwo swojego działania. Ba, w ogóle nie dbali o kwestię zabezpieczeń, rozmawiając z ofiarami przy użyciu tradycyjnych telefonów (które, jak wiecie, mogą zostać łatwo podsłuchane przez organy ścigania) i komunikatora WhatsApp (który do niedawna nie używał szyfrowania między użytkownikami końcowymi). Co więcej, pozostawiali za sobą ślady w postaci adresów IP powiązanych z ich firmą.

Według szacunków włoskiej policji działali oni co najmniej od czterech lat, a być może nawet ponad osiem lat, zaatakowali 16 000 ofiar i z powodzeniem uzyskali dostęp do komputerów ofiar ponad 100 razy. W ten sposób wspomniany duet zdobył wiele informacji — dziesiątki gigabajtów danych, które mogły pomóc im w dokonywaniu lepszych inwestycji.

Koniec historii

Historia ta jest idealnym dowodem na to, że inwestycja w edukację (w tym przypadku w naukę bezpieczeństwa działania) zazwyczaj popłaca. 10 stycznia Giulio i Francesca Maria Occhionero zostali aresztowani przez FBI, więc triumfalna parada tego szkodliwego programu dobiegła końca.

Długi czas działania może się wydawać zaskakujący, lecz być może sekret leży w prostocie szkodliwego programu. Wyglądał zbyt nudno, aby go dokładnie zbadać, a sieć Kaspersky Security Network wykryła jedynie 92 prób infekcji, co stanowi kroplę w oceanie w porównaniu do liczby prób infekcji popularnych programów żądających okupu. Niemniej jednak cyberprzestępcy są już w więzieniu, a my działamy dalej.