I misteri di Occhionero tra USA, Mosca e Vaticano

La storia del cyberspionaggio dei fratelli Occhionero attraverso il malware “Eye Pyramid” non è affatto finita. Quella che emerge dalle carte della magistratura è infatti un’unica centrale di spionaggio elettronico ben radicata nel nostro Paese ai danni “di soggetti tutti italiani almeno a partire dal maggio 2008”. “Il virus - si afferma in una perizia tecnica - è stato utilizzato in una massiccia e duratura campagna di attacco mirata, apparentemente gestita nel tempo dallo stesso soggetto o organizzazione”.

Infatti la prima licenza del virus (che solo un’analisi superficiale può classificare come minaccia generica, mentre in realtà ha una capacità micidiale di infiltrazione e hackeraggio) fu acquistata da una società americana già nel 2008, è stata aggiornata nel maggio 2010 ed è rimasta attiva nella stessa versione fino al dicembre 2015.

Segnale inequivocabile del fatto che Occhionero si sentiva sufficientemente al sicuro. Solo nel maggio 2014 l’ingegnere arrestato comincia a mettere in campo una maggiore prudenza, tanto che ogni riferimento alla società “Westland securities The Art and Science of investment banking” viene cancellato dai percorsi elettronici delle mail che veicolavano il virus.

Alcuni testimoni del resto fanno risalire proprio al 2014, una sorta di inabissamento, nelle abitudini di Occhionero, che sparisce dalla circolazione e assume comportamenti sempre più monacali.

La versione del virus è stata nuovamente aggiornata solo a fine 2015, non appena una società di sicurezza informatica, incaricata da una società bersaglio di fare un’analisi dettagliata dell’intrusione, si è fatta viva con il venditore del software notificandogli l’utilizzo improprio del prodotto venduto in un malware altamente aggressivo. Il venditore ha confermato che il possessore della licenza altri non era che una società italiana. L’attacco all’Enav infatti all’inizio del 2016 è stato generato da una molto più pericolosa evoluzione del virus, con file d’attacco ingegnosamente mascherati da documenti. Ma chi è il venditore? Una società americana del Delaware, negli Stati Uniti, dove pure era ospitato almeno un server di Occhionero, denominato Moscow.

La cosa buffa è che anche il supporto tecnico della società americana venditrice è gestito da soggetti russi, che si scambiano email con la società di sicurezza incaricata di fare indagini su chi sta utilizzando il malware. Tanto che agli auguri di Natale rispondono ringraziando, ma facendo presente che il Natale ortodosso non era ancora stato celebrato. Altro particolare buffo è che chi cerca informazioni sul sito dell’azienda di software (con ogni probabilità Occhionero, secondo gli investigatori) lo fa con con il nome in codice (nickname) “Piccolo” (un personaggio dei Dragon Ball, viene annotato nelle carte).

Cos’era accaduto agli inizi del 2014 tale da spingere “l’inabissamento” di Occhionero? Il quadro istituzionale italiano (e non solo) è cambiato. Matteo Renzi da febbraio è il nuovo presidente del Consiglio, e a metà aprile 2014 cambia anche il capo del Servizio segreto estero, l’Aise, con la nomina del generale dei Carabinieri Alberto Manenti. Non è l’unico cambiamento istituzionale. Qualcosa di altrettanto sostanziale è avvenuto quell’anno anche in Vaticano (dov’è cambiata tutta la governance centrale e finanziaria), un’altra area di interesse di Occhionero. Ben maggiore di quanto si potesse in un primo tempo pensare.

Si allunga la lista dei “bersagli”. Oltre al cardinale Ravasi e alla Casa Pastor Bonus (a poche centinaia di metri in linea d’aria dalle Mura Leonine) c’è stata anche l’Università cattolica del Sacro Cuore, sede di Roma, cioè la Facoltà di Medicina e Chirurgia.

Occhionero “trasmetteva da una serie di indirizzi ip assegnati all’Università Cattolica”. Nelle carte si legge infatti che tra i domini ed identità collegate un logo di accesso “mostrava attività proveniente da una serie di indirizzi ip facenti parte dell’address space assegnato all’Università Cattolica del Sacro Cuore Rome branch” e di questo c’è prova certa nell’ottobre 2014, compromettendo l’account privato di un professore in psichiatria.

Last but not least nell’ordinanza di arresto dei due fratelli i magistrati romani hanno scritto che una delle società bersaglio era la società di recupero crediti messinese Fire, una delle maggiori del settore, che in effetti è stata “colpita” in una serie di computer di Roma. Tra i suoi clienti anche il Monte dei Paschi di Siena.

Ma non tutti sanno che nel consiglio di amministrazione della Fire siede il professor Joseph Zahra, maltese, - pezzo da novanta delle finanze vaticane, (dopo aver presieduto la commissione Cosea), dal marzo 2014 - insieme al professore messinese Franco Vermiglio (anche lui nel Consiglio vaticano dell’economia), ed entrambi allora soci in Misco del presidente dello Ior, Jeanne Baptiste de Franssu, nominato nel luglio 2014.

(pubblicato su Huffingtonpost)