A cura di Elena Vaciago, Associate Research Manager, The Innovation Group

Il 10 gennaio scorso si è diffusa la notizia dell’arresto dei fratelli Giulio e Francesca Maria Occhionero con l’accusa di cyber spionaggio, attività che svolgevano da anni con lo scopo di acquisire informazioni riservate da account di mail di politici, personalità dello Stato e professionisti noti. L’inchiesta Eye Pyramid della Polizia Postale nel giro di 8 mesi, a partire da una segnalazione giunta al CNAIPIC nel marzo 2016, ha portato all’acquisizione di prove sufficienti a incriminarli entrambi.

Ma cosa è vero della notizia che nel giro di poche ore è stata ripresa e commentata da tutti i giornali, italiani e stranieri? In un primo tempo si è parlato di un’attività molto estesa, che avrebbe coinvolto  fino a 20.000 persone. Un’analisi più attenta dell’ordinanza del GIP Maria Paola Tomaselli (46 pagine molto tecniche, che pochi hanno avuto la pazienza di leggere) ci dice in realtà che l’impatto delle attività degli Occhionero va ridimensionato. La lista delle password ottenute – quindi dei computer che hanno effettivamente subito infiltrazioni del malware – sarebbe molto inferiore, intorno a 1.800, e di queste soltanto 29 quelle che appartengono alla lista Politici&Business, con i nomi più noti presi di mira. Emerge quindi una situazione in cui, nonostante i tentativi di attacco siano stati ripetuti, non si è mai arrivati effettivamente a “bucare” gli account di posta di bersagli come Matteo Renzi, Mario Draghi, Mario Monti.

Per quanto riguarda poi gli obiettivi dell’attività di spionaggio, sono stati tirati in ballo Massoneria, Insider Trading, vendita di dati su black market, rischi per la sicurezza nazionale. Va specificato che quale sia stato / quale dovesse essere l’utilizzo dei dati trafugati è un aspetto ancora tutto da chiarire: l’inchiesta sta proseguendo con interrogatori agli arrestati e soprattutto un’analisi tecnica  dei server dell’hosting provider a cui venivano inviate tutte le informazioni, recuperati dall’FBI Usa e inviati in Italia. Al momento ci sono solo ipotesi sugli scopi ultimi dello spionaggio messo in piedi in 6 anni di attività dai due fratelli:

• Attività estorsive? non sembra. In realtà queste attività, se ci fossero state, sarebbero emerse negli circa 8 mesi di indagine. Lo ha chiarito subito Roberto Di Legami (appena prima di essere rimosso dal suo incarico da Gabrielli, con l’accusa di non averlo informato delle attività in corso).
• Condivisione di informazioni all’interno a una rete di persone, di matrice massonica? gli Occhionero non avrebbero operato da soli ma insieme ad altre persone. Avvalorano questa possibilità due elementi importanti 1) l’ingegnere sarebbe stato lui stesso affiliato a una loggia massonica 2) come riporta l’ordinanza, l’analisi tecnica del malware effettuata dalla società Mentat ha portato alla luce 4 indirizzi di mail a cui venivano girati in automatico i file trafugati dai PC/device infettati. Queste mail sarebbero già però comparse in una precedente inchiesta sulla P4 del 2011 dei magistrati Woodcock e Curcio.
• Futura committenza? Insider Trading? la terza ipotesi si basa sulla possibilità che gli Occhionero puntassero a monetizzare le informazioni raccolte, rivendendole o anche utilizzandole per proprie speculazioni finanziarie.

Quello che al momento sembra emergere come principale conseguenza dell’intera vicenda è, positivamente, che ha portato in poco tempo le Istituzioni a riconsiderare le scelte in ambito cyber per la sicurezza nazionale: quelle in vigore oggi sono legate al decreto Monti del gennaio 2013, ma risultano oramai superate dai fatti. Da qui la recente decisione di Gentiloni di varare un decreto legge entro febbraio, per rafforzare la cybersecurity, accentrando i poteri di controllo nel Dis (dipartimento informazioni e sicurezza) con un ruolo strategico svolto dal Cirs (comitato interministeriale per la sicurezza della repubblica). Inoltre il Dis e l’Aise (l’agenzia informazioni e sicurezza esterna) avranno ognuno un nuovo vicedirettore, che si affiancherà ai due attuali e avrà una delega ad hoc sulla cybersecurity.

Maggiore attenzione futura a queste tematiche da parte delle istituzioni non farà del male, ma nel caso specifico di questa vicenda, andrebbe sottolineato che alcune cose hanno funzionato piuttosto bene. Si consideri tra l’altro che questo tipo di indagini devono essere fatte tempestivamente se non si vogliono perdere le “tracce digitali” lasciate dall’attaccante nel suo cammino, e memorizzate nei sistemi dei service proivider per periodi limitati di tempo.

Cosa ha funzionato bene?

La prima segnalazione al CNAIPIC. La denuncia da parte di Francesco Di Maio, Responsabile per la sicurezza dell’Enav, che dopo aver ricevuto una mail sospetta dallo studio dell’Avvocato Ernesto Stajano (con cui l’ente non ha rapporti) l’ha inoltrata al CNAIPIC. ENAV, ente di controllo del traffico aereo e quindi infrastruttura critica nazionale, è come altre grandi aziende italiane convenzionata con il CNAIPIC (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) unità specializzata, interna al Servizio di polizia postale e delle comunicazioni, dedicata alla prevenzione e repressione dei crimini informatici.

Il CNAIPIC, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche http://www.poliziadistato.it/articolo/23401/

Analisi tecnica e individuazione degli hacker. L’attività di analisi tecnica sul malware, raccolta di indizi e prove tecniche svolta dalla società specializzata Mentat per conto della Procura è stata molto efficace nel ricostruire tutto il meccanismo dell’attività svolta dagli Occhionero.  Partendo dal componente principale del malware (una libreria di gestione della posta sviluppata dalla americana AfterLogic e denominata MailBee.NET, un componente software in grado di spedire le informazioni raccolte ad una serie di account di posta elettronica in modo strutturato) l’indagine ha guidato gli investigatori a chi aveva acquistato la licenza, e quindi direttamente a Occhionero.

La collaborazione tra le forze dell’ordine italiane e l’FBI ha poi giocato un ruolo fondamentale nell’identificazione dell’hacker. Va ricordato che l’attribuzione di attività di cyber spionaggio non è affatto semplice, spesso si hanno solo vaghe incriminazioni, e solo di rado vengono identificate gli attaccanti con prove schiaccianti come in questo caso.

In conclusione, la vicenda insegna una lezione molto importante: chi volesse emulare NSA, improvvisarsi hacker esperto e spiare il suo prossimo, oggi può anche reperire gli strumenti per farlo (illuminante in questo senso il caso del ragazzo olandese, che è riuscito a collegarsi per settimane a un suo cellulare rubato, registrando tutto, fotografando, localizzando il ladro per giorni interi). Si tratta però di attività gravi, sanzionate da un corpus legislativo che sicuramente andrebbe rivisto alla luce degli ultimi sviluppi, ma che comunque è già oggi applicabile a numerosi contesti. Ed anche le strutture italiane deputate al contrasto di questi crimini, come dimostra l’intera vicenda, sono preparate a rispondere in modo efficace.