{"id":6612,"date":"2017-01-13T12:49:09","date_gmt":"2017-01-13T12:49:09","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=6612"},"modified":"2019-11-22T09:05:56","modified_gmt":"2019-11-22T09:05:56","slug":"eye-pyramid-spyware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/eye-pyramid-spyware\/6612\/","title":{"rendered":"EyePyramid : malware insouciant"},"content":{"rendered":"

Lorsqu\u2019on parle de malware sur Kaspersky Daily (et on en parle assez souvent), on choisit principalement des esp\u00e8ces de malwares qui, selon nos donn\u00e9es, ont impact\u00e9 beaucoup de monde. CryptXXX<\/a>, TeslaCrypt<\/a>, et autres logiciels malveillants qui ont attaqu\u00e9 des millions de personnes \u00e0 travers le monde en sont les exemples. Les malwares qui n\u2019ont \u00e9t\u00e9 d\u00e9tect\u00e9s que quelques fois ne m\u00e9ritent pas beaucoup d\u2019attention en g\u00e9n\u00e9ral. Il existe beaucoup de malwares dans la nature, comme vous le savez, on ne peut tout simplement pas d\u00e9dier un article de blog \u00e0 chacun d\u2019entre eux.<\/p>\n

Mais \u00e0 chaque r\u00e8gle son exception. Aujourd\u2019hui, nous allons parler du malware nomm\u00e9 EyePyramid. Non, ce n\u2019est pas nous qui l\u2019avons appel\u00e9 comme \u00e7a, mais ses cr\u00e9ateurs. Et la raison pour laquelle nous allons parler d\u2019EyePyramid est qu\u2019il se d\u00e9marque des autres, et son histoire est un peu comme celle d\u2019un conte. Celle d\u2019un petit homme qui a atteint de grands r\u00e9sultats (et qui a \u00e9chou\u00e9 \u00e0 la fin).<\/p>\n

Le business de l\u2019hame\u00e7onnage d\u2019une famille italienne <\/strong><\/p>\n

Il convient tout d\u2019abord de noter qu\u2019EyePyramid est \u00e0 la base une affaire de famille. Le malware lui-m\u00eame a \u00e9t\u00e9 d\u00e9velopp\u00e9 par un Italien de 45 ans, Giulio Occhionero, dipl\u00f4m\u00e9 en ing\u00e9nierie nucl\u00e9aire. Lui et sa s\u0153ur, Francesca Maria Occhionero, 48 ans, ont travaill\u00e9 sur la diffusion du malware. Ils ont travaill\u00e9 ensemble dans une petite entreprise appel\u00e9e Westland Investments.<\/p>\n

Selon un rapport de la police italienne publi\u00e9<\/a> r\u00e9cemment, EyePyramid a \u00e9t\u00e9 distribu\u00e9 via la m\u00e9thode de l\u2019hame\u00e7onnage et a vis\u00e9 la plupart des membres du gouvernement italien dont des francs-ma\u00e7ons, des cabinets juridiques, universit\u00e9s et m\u00eame des cardinaux du Vatican.<\/p>\n

Pourquoi ? Une fois install\u00e9, le malware donnait acc\u00e8s \u00e0 ses cr\u00e9ateurs \u00e0 toutes les ressources sur les ordinateurs des victimes. Il \u00e9tait utilis\u00e9 dans l\u2019unique but de partager des informations, qui comme SC Magazine l\u2019a indiqu\u00e9<\/a>, avait \u00e9t\u00e9 apparemment con\u00e7u pour cr\u00e9er des investissements plus rentables. Un malware en tant qu\u2019outil d\u2019analyse. Je ne vois pas personnellement comment faire le lien entre des investissements et des cardinaux, mais il semblerait que les cybercriminels l\u2019aient r\u00e9ussi.<\/p>\n

Le fait que les postes des victimes soient \u00e0 haute responsabilit\u00e9 et que la police italienne n\u2019ait pas divulgu\u00e9 de d\u00e9tails \u00e0 propos d\u2019Eye Pyramid (except\u00e9 pour les adresses de serveurs de commande et contr\u00f4le (C&C) et plusieurs e-mails qui ont \u00e9t\u00e9 utilis\u00e9s) a attir\u00e9 l\u2019attention des experts de l\u2019\u00c9quipe internationale de recherche et d\u2019analyse (GreAT). Ils ont donc d\u00e9cid\u00e9 de men\u00e9 leurs propres recherches.<\/a><\/p>\n

Le cybercrime novice <\/strong><\/p>\n

Certains m\u00e9dias affirment qu\u2019EyePyramid est complexe et sophistiqu\u00e9. Ce n\u2019est pas le cas. En fait, il s\u2019agit d\u2019un malware plut\u00f4t simple.<\/div>\n
<\/div>\n

Gr\u00e2ce aux informations du rapport de police, nos analystes ont pu trouver 44 \u00e9chantillons distincts d\u2019EyePyramid, et cela a beaucoup jou\u00e9 pour comprendre cette histoire. Certains m\u00e9dias affirment qu\u2019EyePyramid est complexe et sophistiqu\u00e9. Ce n\u2019est pas le cas. En fait, il s\u2019agit d\u2019un malware plut\u00f4t simple. Le duo de cybercriminels a utilis\u00e9 des m\u00e9thodes telles que l\u2019utilisation de multiples espaces afin de masquer l\u2019extension du fichier ex\u00e9cutable qui contenait le malware. Cette astuce para\u00eet simple, mais elle a fonctionn\u00e9.<\/p>\n

Il s\u2019av\u00e8re \u00e9galement que les Occhionero avaient commenc\u00e9 leur activit\u00e9 criminelle il y a un petit moment, les tout premiers \u00e9chantillons remontant \u00e0 2010. Les repr\u00e9sentants italiens ont indiqu\u00e9 que le duo aurait \u00e9t\u00e9 actif depuis 2008.<\/p>\n

Les deux \u00e9tant des amateurs dans le domaine du cybercrime, ils n\u2019ont pas pu maintenir une bonne s\u00e9curit\u00e9 op\u00e9rationnelle. En fait, ils ne pr\u00eataient pas du tout attention \u00e0 la s\u00e9curit\u00e9 en g\u00e9n\u00e9ral, parlaient avec leurs victimes en utilisant des t\u00e9l\u00e9phones standards (qui, comme vous le savez, peuvent \u00eatre facilement mis sur \u00e9coute<\/a> par les autorit\u00e9s polici\u00e8res) et WhatsApp (qui n\u2019utilisait pas le chiffrement de bout en bout \u00e0 ce moment-l\u00e0<\/a>) ainsi qu\u2019en laissant des traces des adresses IP associ\u00e9es \u00e0 leur entreprise.<\/p>\n

N\u00e9anmoins, ils op\u00e8rent au moins depuis trois ans, selon la police italienne, et peut-\u00eatre m\u00eame depuis plus de huit ans, et ont vis\u00e9 16 000 victimes en r\u00e9ussissant \u00e0 acc\u00e9der \u00e0 leurs ordinateurs plus de 100 fois. Cela repr\u00e9sentait beaucoup d\u2019informations pour le duo, des dizaines de gigaoctets de donn\u00e9es qui les auraient aid\u00e9s \u00e0 am\u00e9liorer leurs investissements. Toutefois, il s\u2019agit d\u2019une confirmation parfaite de la th\u00e9orie que les investissements dans l\u2019\u00e9ducation (dans ce cas, dans la s\u00e9curit\u00e9 op\u00e9rationnelle) sont en g\u00e9n\u00e9ral mieux r\u00e9mun\u00e9r\u00e9s.<\/p>\n

La fin de l\u2019histoire \u00a0<\/strong><\/p>\n

Le 10 janvier dernier, Giulio et Francesca Maria Occhionero ont \u00e9t\u00e9 arr\u00eat\u00e9s par le FBI, ce qui signifie que la parade triomphante du malware novice est d\u00e9sormais termin\u00e9e.<\/p>\n

La long\u00e9vit\u00e9 de leur combine est surprenante, peut-\u00eatre que le secret se trouve dans la simplicit\u00e9 du malware. Il semblait trop ennuyeux pour \u00eatre examin\u00e9 \u00e0 fond, et Kaspersky Security Network n\u2019avait montr\u00e9 que 92 tentatives d\u2019infection, ce qui repr\u00e9sente une goutte d\u2019eau dans l\u2019oc\u00e9an en comparaison avec le nombre de tentatives d\u2019infection de ransomwares courants. N\u00e9anmoins, les cybercriminels sont en prison, tout est bien qui finit bien dans ce monde.<\/p>\n","protected":false},"excerpt":{"rendered":"

C\u2019est l\u2019histoire de deux amateurs qui ont \u00e9t\u00e9 capables d\u2019espionner des repr\u00e9sentants du gouvernement italien pendant des ann\u00e9es sans se faire coincer. <\/p>\n","protected":false},"author":696,"featured_media":6613,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[268,2029,2030,940,155],"class_list":{"0":"post-6612","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-espionnage","9":"tag-eyepyramid","10":"tag-italie","11":"tag-logiciel-espion","12":"tag-malware-2"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/eye-pyramid-spyware\/6612\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/eye-pyramid-spyware\/8806\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/eye-pyramid-spyware\/9863\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/eye-pyramid-spyware\/9579\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/malware-2\/","name":"malware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6612","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=6612"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6612\/revisions"}],"predecessor-version":[{"id":12925,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6612\/revisions\/12925"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/6613"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=6612"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=6612"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=6612"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}