EyePyramid : malware insouciant

C’est l’histoire de deux amateurs qui ont été capables d’espionner des représentants du gouvernement italien pendant des années sans se faire coincer.

Lorsqu’on parle de malware sur Kaspersky Daily (et on en parle assez souvent), on choisit principalement des espèces de malwares qui, selon nos données, ont impacté beaucoup de monde. CryptXXX, TeslaCrypt, et autres logiciels malveillants qui ont attaqué des millions de personnes à travers le monde en sont les exemples. Les malwares qui n’ont été détectés que quelques fois ne méritent pas beaucoup d’attention en général. Il existe beaucoup de malwares dans la nature, comme vous le savez, on ne peut tout simplement pas dédier un article de blog à chacun d’entre eux.

Mais à chaque règle son exception. Aujourd’hui, nous allons parler du malware nommé EyePyramid. Non, ce n’est pas nous qui l’avons appelé comme ça, mais ses créateurs. Et la raison pour laquelle nous allons parler d’EyePyramid est qu’il se démarque des autres, et son histoire est un peu comme celle d’un conte. Celle d’un petit homme qui a atteint de grands résultats (et qui a échoué à la fin).

Le business de l’hameçonnage d’une famille italienne

Il convient tout d’abord de noter qu’EyePyramid est à la base une affaire de famille. Le malware lui-même a été développé par un Italien de 45 ans, Giulio Occhionero, diplômé en ingénierie nucléaire. Lui et sa sœur, Francesca Maria Occhionero, 48 ans, ont travaillé sur la diffusion du malware. Ils ont travaillé ensemble dans une petite entreprise appelée Westland Investments.

Selon un rapport de la police italienne publié récemment, EyePyramid a été distribué via la méthode de l’hameçonnage et a visé la plupart des membres du gouvernement italien dont des francs-maçons, des cabinets juridiques, universités et même des cardinaux du Vatican.

Pourquoi ? Une fois installé, le malware donnait accès à ses créateurs à toutes les ressources sur les ordinateurs des victimes. Il était utilisé dans l’unique but de partager des informations, qui comme SC Magazine l’a indiqué, avait été apparemment conçu pour créer des investissements plus rentables. Un malware en tant qu’outil d’analyse. Je ne vois pas personnellement comment faire le lien entre des investissements et des cardinaux, mais il semblerait que les cybercriminels l’aient réussi.

Le fait que les postes des victimes soient à haute responsabilité et que la police italienne n’ait pas divulgué de détails à propos d’Eye Pyramid (excepté pour les adresses de serveurs de commande et contrôle (C&C) et plusieurs e-mails qui ont été utilisés) a attiré l’attention des experts de l’Équipe internationale de recherche et d’analyse (GreAT). Ils ont donc décidé de mené leurs propres recherches.

Le cybercrime novice

Certains médias affirment qu’EyePyramid est complexe et sophistiqué. Ce n’est pas le cas. En fait, il s’agit d’un malware plutôt simple.

Grâce aux informations du rapport de police, nos analystes ont pu trouver 44 échantillons distincts d’EyePyramid, et cela a beaucoup joué pour comprendre cette histoire. Certains médias affirment qu’EyePyramid est complexe et sophistiqué. Ce n’est pas le cas. En fait, il s’agit d’un malware plutôt simple. Le duo de cybercriminels a utilisé des méthodes telles que l’utilisation de multiples espaces afin de masquer l’extension du fichier exécutable qui contenait le malware. Cette astuce paraît simple, mais elle a fonctionné.

Il s’avère également que les Occhionero avaient commencé leur activité criminelle il y a un petit moment, les tout premiers échantillons remontant à 2010. Les représentants italiens ont indiqué que le duo aurait été actif depuis 2008.

Les deux étant des amateurs dans le domaine du cybercrime, ils n’ont pas pu maintenir une bonne sécurité opérationnelle. En fait, ils ne prêtaient pas du tout attention à la sécurité en général, parlaient avec leurs victimes en utilisant des téléphones standards (qui, comme vous le savez, peuvent être facilement mis sur écoute par les autorités policières) et WhatsApp (qui n’utilisait pas le chiffrement de bout en bout à ce moment-là) ainsi qu’en laissant des traces des adresses IP associées à leur entreprise.

Néanmoins, ils opèrent au moins depuis trois ans, selon la police italienne, et peut-être même depuis plus de huit ans, et ont visé 16 000 victimes en réussissant à accéder à leurs ordinateurs plus de 100 fois. Cela représentait beaucoup d’informations pour le duo, des dizaines de gigaoctets de données qui les auraient aidés à améliorer leurs investissements. Toutefois, il s’agit d’une confirmation parfaite de la théorie que les investissements dans l’éducation (dans ce cas, dans la sécurité opérationnelle) sont en général mieux rémunérés.

La fin de l’histoire  

Le 10 janvier dernier, Giulio et Francesca Maria Occhionero ont été arrêtés par le FBI, ce qui signifie que la parade triomphante du malware novice est désormais terminée.

La longévité de leur combine est surprenante, peut-être que le secret se trouve dans la simplicité du malware. Il semblait trop ennuyeux pour être examiné à fond, et Kaspersky Security Network n’avait montré que 92 tentatives d’infection, ce qui représente une goutte d’eau dans l’océan en comparaison avec le nombre de tentatives d’infection de ransomwares courants. Néanmoins, les cybercriminels sont en prison, tout est bien qui finit bien dans ce monde.

Conseils