Il malware EyePyramid è vecchio c’è bisogno di un team che lo aggiorni, aggiunga funzionalità e lo renda invisibile. L’esperto di sicurezza Andrea Zapparoli Manzoni spiega all’Ansa come Francesca Maria e Giulio Occhionero, arrestati per rubato informazioni e dati di personaggi politici, enti e anche massoni, non sono sconosciuti al mondo degli hacker. La convinzione dell’esperto è che i due fratelli siano “dei prestanome, dietro c’è uno sponsor”. Del resto lo stesso gip di Roma, che ha firmato gli arresti, riportando il capo di imputazione della Procura scrive non circoscrive l’attività di spionaggio ai due che sono accusati di aver agito “al fine di procurare a sé stessi e ad altri un vantaggio” e “al fine di trarne per sé o per altri profitto…”.

Spiare quasi 20mila persone vuol dire un’operazione in scala industriale – osserva l’esperto – e fare restare invisibile il malware per lungo tempo presuppone capacità di alto livello che non sono nelle possibilità delle due persone arrestate. Tra i domini usati, ad esempio, c’è eyepyramid.com che non userebbe neanche una persona sprovveduta. Questa è una storia affascinante a cui manca un pezzo”. Troppo ampio ed eterogeneo lo spettro di azione: sono circa 100 i dispositivi infettati, finora identificati. Intrusioni anche in diversi studi professionali, di commercialisti, consulenti del lavoro, architetti e di due società di recupero crediti. Inoltre, infettati un pc della seconda università di Napoli (segreteria facoltà di Lettere), della Regione Lazio (quello della dirigente dell’ufficio contenzioso), del sindacato Cgil Funzione pubblica Torino. In Vaticano, compromessi i pc in uno a due collaboratori del cardinal Ravasi e quello della Casa bonus pastor, una struttura alberghiera di proprietà del Vicariato di Roma. Hackerati i computer di società di costruzioni (Pulcini, Bergamelli e Finchamp group), di società attive nel settore sanitario (il gruppo Ini, la mutua Mba, la Coopsalute Scpa), ma anche della Reale mutua assicurazioni (due agenzie di Roma) e di una società di trasporti della provincia di Frosinone, la Toti trans srl (ben 20 i computer infettati). Gli investigatori precisano che si tratta di un elenco al ribasso, poiché si tratta delle vittime accertate nel periodo in cui l’utenza fissa di Giulio Occhionero era intercettata, vale a dire per poco più di un mese

L’elenco di username individuati è molto più ampio. Nel database nelle mani delle due fratelli c’erano 18.327 username (il nome con cui un utente viene riconosciuto online) di cui 1.793 corredate da password e catalogate in 122 categorie denominate ‘Nick’ che indicano la tipologia di target (politica, affari, etc…) oppure le iniziali di nomi e cognomi. Tra le categorie ‘Nick’ più significative ce ne sono quattro. ‘Eye’, che raggruppa 144 diversi account usati per gestire la dropzone del malware (cioè lo spazio di memoria dove vengono inviati e raccolti i dati sottratti); ‘Bros’ che raggruppa 524 differenti account di posta elettronica relativi a 338 nominativi univoci, “verosimilmente appartenenti a membri della massoneria” (bros sta per l’inglese fratelli); ‘Tabu che raggruppa diversi account e password con dominio port.taranto.it (secondo fonti giornalistiche la società dei due arrestati ha fornito consulenze al governo Usa per una operazione commerciale per la costruzione di infrastrutture nel Porto di Taranto). Infine la categoria ‘Pobu’ (political e business) che contiene 674 account di cui 29 corredati da relativa password. Tra gli account presenti nella lista alcuni con domini istituzionali come camera.it, esteri.it e giustizia.it, o riconducibili a esponenti politici.