Cyberspionaggio, quella mail malevola ​da cui partì l'indagine

Nasce da una segnalazione di Francesco Di Maio, responsabile della sicurezza della società Enav spa, l'indagine della Polizia Postale e della Procura di Roma (beneficiando "della piena collaborazione" delle autorità Usa) sull'attività di cyberspionaggio messa in piedi dall'ingegnere Massimo Occhionero e dalla sorella. Il primo marzo del 2016 Di Maio "segnalava - si legge nell'ordinanza cautelare del gip Maria Paola Tomaselli - l'avvenuta ricezione di una email contenente un allegato malevolo, da cui ricevuto il 26 gennaio precedente e apparentemente inviato dallo studio legale del professor Ernesto Stajano".

Questa mail era risultata sospetta perché Di Maio non aveva mai avuto relazioni dirette con Stajano né con il suo studio legale. E così, anziché visualizzarla e scaricarne l'allegato, l'ha inviata per l'analisi tecnica alla società Mentat Solutions srl, che opera nel settore della sicurezza informativa e della malware analysis. Dall'esame dei dati tecnici si scopriva che questa mail partiva dal mittente studiolegale@ernestostajano.it, utilizzando un mail server di proprietà della società Aruba spa con indirizzo IP 62.149.158.90. Da verifiche fatte presso Aruba risultava che l'indirizzo Ip "apparteneva ad un nodo di uscita della rete di anonimizzazione TOR, stratagemma informatico che di fatto impedisce l'identificazione dell'effettivo utilizzatore". L'account mittente (studiolegale@ernestostajano.it) faceva parte - hanno scoperto quindi gli inquirenti - di una serie di account collegati a studi legali risultati compromessi a seguito di una infezione informatica.

Dall'istruttoria è poi emerso che il file analizzato presentava numerose analogie con un altro malware diffuso in precedenti campagne di spear-phishing che dipendenti della società Mentat avevano già avuto modo di studiare nell'ottobre del 2014, quando la società Eni spa era stata destinataria di messaggi 'malevolì al pari dell'Enav.