De twee verdachten die Italiaanse politici, bestuurders en advocaten via besmette e-mailbijlagen hebben gehackt waren amateurs, zo stelt het Russische beveiligingsbedrijf Kaspersky Lab. Deze week arresteerden de Italiaanse autoriteiten een broer en zus die zo'n 16.000 mensen hadden aangevallen.

Onder andere ECB-voorzitter Mario Draghi en de voormalige Italiaanse premier Matteo Renzi waren doelwit van het tweetal. Vanochtend kwam het Japanse anti-virusbedrijf Trend Micro al met een analyse waarin werd gesteld dat de verdachten aan de hand van een softwarelicentie konden worden opgepakt. Nu heeft ook Kaspersky Lab een eigen analyse online gezet die duidelijk maakt dat de verdachten weinig aandacht aan operationele security schonken. De twee verstuurden phishingmails met gespoofte e-mailadressen die van een zip- of .7z-bestand waren voorzien. Dit bestand bevatte weer een exe-bestand wat de EyePyramid-malware was. Malware die volgens de Russische virusbestrijder niet geraffineerd en eenvoudig te detecteren is.

Via de malware konden de verdachten allerlei gevoelige politieke en financiële gegevens stelen. Deze gegevens werden naar verschillende e-mailadressen gestuurd. De malware maakte hiervoor gebruik van een commerciële softwarebibliotheek waarvoor de verdachten een geldige licentie op hun eigen naam hadden aangeschaft. Kaspersky Lab meldt dat de twee verdachten bij de aanvallen ook de ip-adressen van hun bedrijf gebruikten en tijdens telefoongesprekken met elkaar de slachtoffers besproken. Toen ze waren gepakt probeerden ze nog allerlei bewijsmateriaal te verwijderen.

"Dit duidt erop dat het geen experts waren, maar slechts amateurs, die er toch in slaagden om grote hoeveelheden data van hun slachtoffers te stelen", aldus de onderzoekers van Kaspersky Lab. In totaal zou het om 87 gigabyte aan gegevens gaan die in de loop der jaren werden buitgemaakt. Alle geïdentificeerde slachtoffers bevonden zich in Italië. Het ging voornamelijk om advocatenkantoren, universiteiten, consultancybedrijven en zelfs personen binnen het Vaticaan en de Italiaanse politiek.

"Zoals ook bij andere cyberspionage-operaties duidelijk werd hebben aanvallers geen geavanceerde malware, rootkits of zero day-lekken nodig om langlopende cyberspionage-operaties uit te voeren. Misschien het meest verrassende aan dit verhaal is dat de operatie zolang kon doorgaan voordat de twee werden gepakt", besluit Kaspersky Lab.