Giulio e Francesca Maria Occhionero, i due fratelli romani accusati di aver spiato per anni le caselle di posta elettronica di politici, dirigenti istituzionali, avvocati, commerciali e aziende, sono stati smascherati da un’indagine condotta dalla Polizia Postale diretta da Roberto Di Legami (nella foto), poi sostituito da Nunzia Ciardi su decisione del capo della Polizia, Franco Gabrielli, e coordinata dalla procura di Roma. Secondo l’ordinanza di arresto, a sbrogliare la matassa cibernetica che dal malware Eye Pyramid ha portato ai nomi degli arrestati è stata una società privata, la Mentat Solutions, che ha condotto le analisi preliminari permettendo alla procura di arrivare, poi, ai fratelli Occhionero.
Ecco quale ruolo ha avuto la Mentat Solutions nelle indagini sullo cyberspionaggio, come opera, chi sono i proprietari e lo stato di salute contabile della società.
IL RUOLO DELLA MENTAT SOLUTIONS NELLE INDAGINI
Secondo l’ordinanza d’arresto, firmata dal gip Maria Paola Tomaselli, le indagini che hanno portato all’arresto dei fratelli Occhionero sono nate dalla segnalazione fatta da Francesco Di Maio, responsabile della sicurezza della società Enav, di una mail sospetta inviata per l’analisi tecnica “alla società MENTAT Solutions s.r.l., che opera specificamente nel settore della sicurezza informatica e della malware analysis” (pagina 5 dell’ordinanza che si può leggere qui). Le analisi condotte dalla società hanno mostrato come l’account mittente che aveva inviato la mail a Di Maio “faceva parte di una serie di account collegati a studi legali risultati compromessi a seguito di un’infezione informatica”. Inoltre, il file analizzato presentava molte analogie con un altro malware diffuso in passato e già studiato nell’ottobre del 2014 dal personale della Mentat, quando l’Eni S.p.A. era stata oggetto di messaggi malevoli al pari dell’Enav, si legge ancora nell’ordinanza.
LA SCOPERTA DEL MALWARE EYE PYRAMID
Dalle analisi condotte dalla Mentat, si è potuta rintracciare la tipologia di malware contenuto nella mail ricevuta dall’Enav, che corrispondeva con la versione recente di un virus denominato “EyePyramid” usato nel 2008 per un massiccio attacco informatico a seguito del quale erano stati compromessi sistemi informatici appartenenti a società private e studi professionali. I tecnici della Mentat, “grazie a un software da loro appositamente realizzato, sono riusciti a decodificare i file trasmessi tramite mail”, oltre a individuare il funzionamento del malware: sottrazione dei dati mediante duplicazione, successiva cifratura e invio dei dati mediante due modalità di trasmissione. “Per i file di dimensioni grandi vengono utilizzati account di cloud storage; gli altri vengono trasmessi in allegato a messaggi email inviati utilizzando account di posta elettronica aventi dominio @gmx.com” (pag. 6), gestito dalla società statunitense 1&1 Mail & Media Inc”.
IL SERVER DI CONTROLLO
Sempre partendo dall’analisi dell’allegato malevolo – scrive il gip Maria Paola Tommaselli – i tecnici Mentat “sono stati in grado di individuare un server punto di riferimento per il citato malware, ossia il cosiddetto server di Command and Control (C&C) utilizzato per la gestione di tutti i sistemi informatici infettati e sul quale erano memorizzati i file relativi alla configurazione delle macchine compromesse dal medesimo virus EuePyramid, oltre a migliaia di documenti informatici abusivamente esfiltrati secondo la descritta modalità” (pag. 6).
DAL MALWARE AI FRATELLI OCCHIONERO
Ma come hanno fatto i tecnici della Mentat Solutions ad arrivare ai nomi dei fratelli Occhionero permettendo, così, alla Procura di mettere in atto la seconda fase delle indagini, ossia le attività di intercettazione, terminate con l’arresto dei fratelli? Sbrogliare la matassa informatica è stato possibile, da una parte, grazie all’analisi di tutti i malware citati in precedenza – quello inviato all’Enav, ma anche quelli già in possesso della Mentat – con i quali si sono riscontrate “analogie presenti in tutte le versioni del malware analizzato, compresa quella in esame. Così, fin dal maggio 2010, tutte le versioni del programma malevolo succedutesi nel tempo, fino al dicembre 2015, hanno sempre utilizzato la stessa licenza del componente MailBee.NET caratterizzata dallo stesso codice univoco identificativo”. “La licenza MailBee utilizzata dal malware è variata solamente nel dicembre 2015 quando – si legge ancora nell’ordinanza -, a seguito della richiesta effettuata dalla Mentat di fornire le generalità del suo acquirente, la società AFTERLOGIC Corporation (produttrice delle componenti MailBee.NET Object) ha ritenuto di dover dare notizia a riguardo il proprio cliente”. Tale circostanza fa presumere che a utilizzare la licenza sia stata sempre la stessa persona nel corso del tempo, almeno a partire dal 2010.
IL BANDOLO DELLA MATASSA
Altro dato emerso dalle analisi della Mentat riguarda il metodo con cui il virus copiava e reinoltrava i dati carpiti dalle macchine compromesse, ossia attraverso l’invio via mail a caselle di posta specifiche. In particolare è stato fondamentale scoprire che il reinoltro del contenuto delle caselle email @gmx “utilizzate per le descritte operazioni di exfiltration” fosse verso “un account del dominio hostpenta.com, registrato sfruttando il servizio di ‘whois privacy’ offerto dalla società statunitense PERFECT PRIVACY, LLC, con sede a Jacksonvile (Florida), che oscura i dati identificativi del reale titolare del dominio”. Tale dominio, risultava essere collegato ad altri domini, come: enasrl.com, eyepiramyd.com, marashen.com, occhionero.net e westlands.com, tutti registrati con la stessa società statunitense (Registrar: NETWORK SOLUTIONS, LLC.), “ma sono risultati tutti essere, a vario titolo, riconducibili a Giulio Occhionero, o a società a lui collegate ove collabora con la sorella Francesca Maria Occhionero”. “Ulteriori accertamenti – conclude l’ordinanza -, effettuati per tramite dell’FBI statunitense presso la società Afterlogic Corporation, produttrice della licenza MailBee.NET Objects, permettevano di appurare che la licenza relativa al componente utilizzato dal malware, dal maggio 2010 al dicembre 2015, risultava essere stata acquistata proprio da Giulio Occhionero”.
MENTAT SOLUTIONS, COSA FA E CHI LA GESTISCE
La società Mentat Solutions è di proprietà di Federico Ramondino (70% delle quote) e di Paola D’Angelo (30% delle quote), ha iniziato le sue attività il 10 agosto 2009 e si occupa prevalentemente della “produzione di software non connessi all’edizione, consulenza nel settore tecnologico dell’informatica, gestione di strutture e apparecchiature informatiche hardware – housing (esclusa la riparazione)” e ha due dipendenti. Il conto economico al 31 dicembre 2015 indica in 203.128 euro i ricavi delle vendite e delle prestazioni, in crescita rispetto all’anno precedente (133.018 euro). Tra i costi della produzione, si nota una crescita per “materie prime, sussidiarie, di consumo e di merci”, passate da 4.515 euro nel 2014 a 35.348 euro alla fine del 2015. La società nel 2015 ha fatto registrare un utile di 12.146 euro.
Sono poche le informazioni rintracciabili online sui due proprietari della società. Tra i pochi risultati, la partecipazione come relatore da parte di Federico Ramondino alla presentazione del libro “Futuro Ignoto” di Philip Larrey, docente di Logica e Filosofia della conoscenza presso la Pontificia Università Lateranense e sacerdote per la diocesi di Roma. Il libro, si legge nella quarta di copertina, “presenta 14 conversazioni con persone altamente qualificate in diversi settori della società odierna che riflettono sull’impatto che la rivoluzione digitale sta avendo nel loro campo specifico”. A intervenire assieme a Ramondino anche Claudio Bianchi, definitivo “professionista nel settore Informatica e servizi”, come si legge nella presentazione.