Ma come hanno fatto Giulio e Francesca Maria Occhionero, i due fratelli romani arrestati il 10 gennaio dalla Polizia con l’accusa di cyberspionaggio, ad ottenere le credenziali Apple Id dell’IPhone dell’ex premier Matteo Renzi se il malware impiegato – EyePyramid – è programmato per captare dati solo da dispositivi Windows?
Al momento nessuno è riuscito a dare una risposta precisa a questa domanda. Dalla lettura degli atti emersi fino a questo punto sembrerebbe un argomento non esplorato nemmeno dagli investigatori del Cnaipic che hanno ricevuto la delega dal pm Eugenio Albamonte. Ma gli interrogativi rimasti in sospeso, che circondano gli episodi di spionaggio elettronico contestati ai due fratelli, sono molti.
Una parte della storia è ancora custodita all’interno dei server che i due avevano noleggiato negli Stati Uniti. Lì dovrebbe nascondersi i dati “rubati”. È in corso una procedura di rogatoria internazionale che consentirà all’autorità giudiziaria italiana di agire con pieni poteri nei confronti delle società di hosting che, pochi giorni prima dell’arresto dei fratelli Occhionero, hanno ricevuto l’ordine dai “clienti” di scollegare quei server. Quando gli inquirenti, nel corso di una perquisizione dello scorso ottobre, hanno provato ad accedere a quel contenuto i due indagati si sono rifiutati di consegnare le password. In un caso proprio Francesca Maria Occhionero digitava deliberatamente delle password sbagliate provocando il blocco del sistema.
Dall’ordinanza d’arresto, inoltre, emergono pochissimi elementi su quali e quanti utenti siano stati realmente spiati e in quanti casi, invece, i tentativi di intrusione non siano andati a buon fine. Mancano le prove, ovvero le tracce digitali, per dimostrare che oltre a forzare i sistemi informatici (che già costituisce una violazione del nostro codice penale) i due abbiamo anche sottratto informazioni sensibili dai computer attaccati per poi conservarle sui server che l’Fbi avrebbe accettato di “congelare” visto che senza la rogatoria non si può parlare di vero e proprio sequestro.
Come emerge anche dalla stessa ordinanza d’arresto firmata dal gip Maria Paola Tomaselli, non è chiaro come i fratelli Occhionero avrebbero ottenuto user e password dell’account iCloud di Matteo Renzi, tralasciando il fatto che tutto questo potrebbe essere accaduto mentre era Presidente del Consiglio in carica.
“Innanzitutto mi lasci dire che il malware utilizzato non è propriamente un virus, ma un captatore. Agisce in seguito all’azione di chi lo riceve. Ad esempio se si apre un allegato infettato con EyePyramid il malware si autoinstalla nella macchina bersaglio e capta tutto ciò che avviene inviandolo all’esterno”, spiega a Formiche.net Massimiliano Graziani, consulente informatico di diverse procure, docente di digital forensics presso le scuole delle forze di polizia e fondatore dell’Osservatorio nazionale informatica forense (onif.it).
“È un malware obsoleto, molto conosciuto – aggiunge l’esperto – e perciò rilevabile anche dagli antivirus più comuni. Ed è vero che non è in grado di infettare iOS, quindi né un dispositivo iPhone né un portatile Mac. Nel caso dello smartphone di Renzi potrebbe essere accaduto che il terminale sia stato sincronizzato su una macchina Windows precedentemente attaccata da EyePyramid, magari un computer di un suo assistente. A quel punto dal backup potrebbe essere stato carpito l’Apple Id ma anche altri dati come messaggi, foto, rubrica ed altro ancora. Di certo se Renzi avesse ricevuto una e-mail e avesse aperto dal suo iPhone un allegato infetto con il malware utilizzato dai due indagati non sarebbe stato spiato perché quel malware su un iPhone sarebbe risultato del tutto innocuo”.
