ordinanza di custodia cautelare occhionero
Transcript
ordinanza di custodia cautelare occhionero
Proc N 21245 16 RGNR 9 TRIBUNALE DI ROMA SEZIONE DEI GIUDICI PER LE INDAGINI PRELIMINARI Ufficio 37 ORDI?ANZA I APPLICAZIONE DELLA MISURA CAUTELARE I _ DELLA CUSTODIA IN CARCERE art 272 e ss c pp Il Giudice dott Maria Paola Tomaselli Visti gli atti del procedimento penale N OCCHIONERO Giulio domiciliato a nato 21245 16 nei confronti di Roma il 21 01 1971 a Roma in via Ernesto Calindri OCCHIONERO Francesca Maria nata ma di fatto domiciliata a a nr residente a GB Londra di fatto ma 3 Medford USA il 31 10 1968 residente Roma in via Cambiano nr a Londra GB 82 INDAGATI A per i reati di cui 1 quater commi comma altri un 4 n 1 agli c artt 81 cpv 110 56 494 615 ter commi 1 4 p vantaggio n 1 617 perch? in pi? con quinquies concorso fra loro atti esecutivi di accedevano abusivamente alla casella di sicurezza studiolegale@ernestostajano it Stajano quindi da tale persona ponevano in errore in casella essere contenente un inviavano allegato e con rif all medesimo a allo Studio disegno legale sostituendo illecitamente la 3 617 quater s? stessi ed posta elettronica protetta da uso e art 617 al fine di procurare un 3 n criminoso misure di dell Avv Ernesto propria all altrui atti idonei diretti in modo univoco ad indurre in il Dott Francesco DI MAIO particolare in 3e 2 1 co 2 responsabile della Sicurezza della societ? all ENAV S pA un messaggio malevolo virus informatico di ENAV S p A posta EyePyramid che elettronica una volta 2 avrebbe permesso di installato nel sistema informatici dell ENAV S p A auto accedere abusivamente al relativo sistema informatico contenente informazioni dati relativi alla sicurezza pubblica nel settore dell aviazione civile nonch? di intercettarne le comunicazioni informatiche In Roma acc to il 28 e o telematiche al 3e 2 rif all art 617 con del 2003 perch? crimonoso natura altri riservata elettronica e o e di quater concorso comma fra loro acquisire pertinenti recare 617 quater a professionisti del militari di strategica interno it istat it partitodemocratico it p?l it 1 c a telematica pi? e 4 3 n 615 1 617 atti esecutivi di quater un importanza o gdfit it it accesso notizie che comma quinquies e 2 d Igs medesimo sia accesso di sistemi informatici camera n 1 196 disegno se o caselle di per posta che istituzionali personali economico nonch? bancaditalia it a co a numerose protetti autorit? utilizzati dallo it senato it esteri it tesoro it regione campania it regione lombardia it ?ENAV S p A quindi mediante l installazione telematici del malware e username e password nell interesse Eyepiramid flussi di comunicazione interno della sicurezza dati sensibili relativi ad intestatari ed utilizz atori dei sistemi informatici e ogni telematici violati In Roma dal 2012 condotte in corso di esecuzione caso ? vietata la o rimanere riservate personali di cui in politico e matteorenzi it pubblica devono e 2 anche di nonch? al fine di trarne per pubblica giuridico settore cist it acquisivano 1 3 danno accedevano abusivamente un comune roma intercettare chiavi di n p ed art 167 commi 1 abusiva da remoto nei relativi sistemi informatici idoneo interno indebitamente informazioni atti documenti alla sicurezza ad altri n e con da altri enti pubblici istruzione it finanze it 4 2 quater commi protette dalle relative password di appartenenti politiche e in scopo di a profitto Stato 1 dell art 617 n suo aprile 2016 B per il reato di cui agli artt 81 110 615 ter commi 1 in relazione al e divulgazione ovvero e della 3 cautelaMre misura delP della Ufficio di la Letta r applicaziinodagati ne richiestaconfronti nei avanzata degli dall GRAVI INDIZI DI COLPEVOLEZZA Ritiene il dettagliata con il si ? quale proceduto alla ricostruzione della alla riguardo segnalazione sicurezza della societ? ENAV Solutions operatori s r 1 l per poi s p ambito della presente ordinanza ricalchi la dovendo condividersi sia il metodo sia l analisi tecnica delle presente vicenda di P G dotati di una statunitensi ha trovato effettuata Le operazioni di sviluppo dell infine riscontro pieno un intercettazione telematica genesi dell indagine responsabile della tecnica nell e in investigativa posta probatorio Il contesto piena essere da emerso a collaborazione delle autorit? esito dell attivit? di monitoraggio telefonica svolte hanno infatti da un Occhionero Massimo ed alla sorella delle condotte assistere all attivit? dai medesimi dall altro hanno consentito anche di volta ad occultare le loro attivit? che hanno beneficiato della canto confermato la riconducibilit? all e della corredata dall analisi tecnica effettuata dalla societ? Mentalt a particolare competenza accertamenti svolti contestate esposizione la fase dal dott Francesco Di Maio trasmessa evidenziare lo seguito degli essere la come avanzata dall ufficio del P M quindi preferito distinguere nell avuto chiarire investigative risultanze S? ? puntuale richiesta e preliminarmente di dover giudicante responsabilit? mediante la distruzione dei file posta in oggetto dell illecito accesso Ed invero come si vedr? in seguito consentito di verificare sia la esfiltrazione mentre l sia disponibilit? la attivit? di intercettazione dei captazione telematica dei computers in uso agli indagati ha la da parte degli stessi di alcuni dei files oggetto di inquinamento probatorio colloqui dai medesimi di intercorsi tra di loro ha evidenziato seguito come realizzata essi fossero gli autori dell illecita condotta Genesi dell indagine In data 1 03 2016 il Dott Francesco DI MAIO SpA infrastruttura critica nazionale convenzionata segnalava l avvenuta ricezione di ricevuto in data 26 01 2016 ed In particolare dirette Responsabile con la detta mail il Prof Societ? che opera Stajano un messaggio email con della Sicurezza della societ? ENAV il CNAIPIC della Polizia Postale contenente un allegato malevolo da lui apparentemente inviato dallo studio legale del Prof Ernesto Stajano era o con risultata sospetta il suo studio specificamente nel settore della perch? legale costui non aveva mai avuto relazioni Pertanto anzich? visualizzarla sicurezza infonnatica 111111111111 I 1 e scaricarne 5 ad inviarlo per l analisi tecnica alla societ? MENTAT provvedeva opportunamente l allegato Solutions S r L che opera specificamente nel settore della sicurezza informatica e della malware analysis Dall analisi dei dati tecnici a corredo del messaggio veniva cos? riscontrato che effettuata dalla P G 26 01 2016 dall indirizzo email mittente propriet? della societ? Aruba header posta elettronica in argomento di questo era stato inviato alle studiolegale@ernestostajano it utilizzando ore un 10 43 51 del mail server di S p A avente indirizzo IP 62 149 158 90 indirizzo IP Gli accertamenti effettuati presso la societ? Aruba consentivano di accertare l utilizzato per inviare la mail tramite il servizio di webmail 37 49 226 236 dell informativa Polizia Postale CNAIPIC del 26 ottobre 2016 in atti vds Allegato 1 alla stessa ci si richiamer? anche nei rimandi successivi Tale indirizzo IP risultava vds Allegato 2 appartenere ad nodo di uscita della rete di anonimizzazione TOR un dell effettivo stratagemma informatico che di fatto impedisce l identificazione utilizzatore Ad ogni modo si accertava comunque che l account mittente parte di una serie di informatica di cui proprio in aveva meglio quindi la piena era stato riscontrato altro malware diffuso in ENI S p A un in parler? studi era legali seguito era risultati it faceva compromessi a seguito di un infezione Ci? che conta sottolineare in possesso della relativa ora ? che password di l attaccante accesso e ne disponibilit? medesima societ? Mentat 2 si collegati a virt? dell infezione informatica Dalle analisi svolte un account studiolegale@ernestostajano precedenti aveva gi? stata destinataria di lo spear phishing ? malintenzionato cerca di un come il file analizzato campagne di spear phishing2 che numerose malevoli al particolare tipo di phishing la vittima al fine di analogie personale dipendente avuto modo di studiare nell ottobre 2014 messaggi ingannare presentasse quando con della la societ? pari dell Enav3 truffa effettuata su Internet attraverso la carpire informazioni personali quale dati finanziari o codici di accesso realizzato ad hoc per colpire particolari individui o societ? 3 per un riscontro di ci? si veda quanto dichiarato in data 7 03 2016 da Federico RAMONDINO titolare della societ? MENTAT Solutions S informazioni pi? dettagliate r l escusso a sommarie informazioni al fine di acquisire circa l esito dell analisi del file malevolo da lui effettuata per conto di ENAV SpA Lo stesso ha consegnato 3 copia del report redatto nell occasione su incarico dell ENAV vds allegato 6 Pi? ad il malware rinvenuto nella mail indirizzata ad ENAV sarebbe dettagliatamente recente versione di una all epoca utilizzato in quale virus denominato massiccia una compromessi stati erano un e corrispondente EyePyramid gi? noto a partire dal 2008 in quanto duratura campagna di attacchi informatici mirati tramite la numerosi sistemi informatici appartenenti a societ? private e studi professionali L EyePiramid una volta installato del sistema infettato solo senza pieno controllo all attaccante il o da remoto di altre informazioni che la vittima possa accorgersene dei dati avviene mediante Ci? perch? l esfiltrazione con due distinte modalit? di trasmissione per i file di dimensioni molto gli garantisce permette l integrale sottrazione di documenti ma quelle riservate incluse non duplicazione e il successivo invio di file cifrati grandi vengono utilizzati account di cloud storage altri file vengono trasmessi in allegato a messaggi email inviati utilizzando account di posta elettronica aventi dominio dominio @gmx com4 I tecnici MENTAT grazie ad un software da loro decodificare i file trasmessi tramite email mentre non appositamente sono stati in realizzato sono riusciti a grado di decriptare gli altri Accertamenti tecnici I tecnici della Mentat server C dall allegato malevolo sono punto di riferimento per il citato malware ossia il s C partendo utilizzato per la gestione memorizzati i file relativi alla EyePiramid6 oltre a d server grado di individuare un di Command and Control di tutti i sistemi informatici infettati configurazione migliaia c stati in e sul quale erano delle macchine compromesse dal medesimo virus di documenti informatici abusivamente esfiltrati secondo la descritta modalit? Il dominio gmx 4 Chesterbrook 5 pi? un in 6 esse Sul ? gestito dalla societ? statunitense 1 1 Mail Media Inc con sede Pennsylvania Command and Control C generale dati da com di una botnet C ? utilizzato per controllare l azione di un malware e configurazione alle macchine compromesse o raccogliendo i un inviando file di server carpiti server erano macchine compromesse presenti 1133 file di configurazione evidente indice di un egual numero di 7 La provenienza comune citati ? stata in di tutti i malware che hanno infettato i sistemi che di particolare possibile grazie all analisi tecnica del codice con seguito verranno cui ? stato scritto il malware venuto alla nostra attenzione Infatti in particolare dall per la sottrazione dei file informazioni compresa sono emerse tramite protocolli di posta elettronica significative analogie presenti in tutte questione per la cattura di altre e le versioni del malware analizzato quella in esame Cos? fin dal dicembre della libreria MailBee NET dlF utilizzata dal virus in esame maggio 7010 2015 tutte le versioni del al programma malevolo succedutesi nel tempo fino hanno sempre utilizzato la licenza del stessa componente MailBee NET caratterizzata dallo stesso codice univoco identificativo MN600 D8102F401003102110C5114F1F18 0E8CP La licenza MailBee utilizzata dal malware ? variata solamente nel dicembre 2015 della richiesta effettuata dalla MENTAT di fornire le AFTERLOGIC richiesta ha ritenuto di dover notiziare Altro fatto estremamente email a carpiti pag 60dell emerso dalle indagini ? che in tip848@gmail com contenuto delle caselle email utilizzate per le descritte di account del dominio whois privacy seguito la societ? destinataria della e una versione del virus seguenti dude626@gmailcom e allegato3 poi verso un acquirente dalle macchine compromesse venivano inviati ai Dall analisi della MENTAT emergeva @gmx suo componenti MailBee NET Objects purge626@gmail com octo424@gmail com cfr del a riguardo il proprio cliente significativo diffusa alla fine del 2010 i dati indirizzi delle Corporation produttrice generalit? quando com che la versione attuale del malware reinoltrava il operazioni di data exfiltration hostpenta com gpool@hostpenta com registrato sfruttando offerto dalla societ? statunitense PERFECT PRIVACY LLC il servizio con sede a Jacksonville Florida che oscura i dati identificativi del reale titolare del dominio 7 Objects prodotto 8 3 alla 9 Papa e componenti commerciali chiamato MailBee NE statunitense AfterLogic Corporation con sede a Newark Delaware La libreria MailBee NET dll dalla societ? ? parte di un set di Maggiori informazioni sono contenute nell allegata relazione tecnica cfr pagg 52 e segg dell allegato quale si rimanda per una pi? dettagliata descrizione dell analisi effettuata Questo sarebbe COllegato a Operazioni di controlio da parte di Bisignani nei confronti dell onorevole delle Fiamme Gialle nell ambito dell inchiesta relativa alla P4 Si accertava inoltre che l attivit? illecita di cessata testimonia il dato che durante tutto il come operanti e dai loro ausiliari In il malware compito rispettivamente geolocalizzare la vittima in base Significativa era veniva riscontrato che nel particolare aventi il dossieraggio era stata attivata anni orsono e non era mai ? di periodo compiuto dagli di osservazione oggetto di continua evoluzione1 di mese luglio vi sono alert in base ad creare state una aggiunte lista di due nuove parole chiave e di all indirizzo IP soprattutto la prima delle due classi in base alla quale nel momento in cui keyword impostate classi veniva rinvenuta all interno di messaggio un email ricevuto da una delle vittima una questo veniva automaticamente copiato ed inviato verso il server di C C Inoltre con una nuova forma di controllo da remoto dei sistemi informatici in PolyCommand denominata possibile era uso alle vittime inviare comandi alle vittime sotto forma di messaggi email Con ci? perseguendo l ulteriore condotte illecite in fine di mascherare ulteriormente la reale identit? oggetto grazie a tale nuova funzionalit? difatti alcune delle attivit? di della botnet venivano effettuate utilizzando le stesse caselle delle vittime richieste come d altronde avvenuto nel gestione origine come delle della mail inviata all ENAV dallo Studio specifico caso degli autori delle legale Stajano Identificazione degli autori dei Come gi? evidenziato dalle 2010 i dati allegato 3 fonti emerso una ricerca effettuata Ci? ? che in risultavano essere gi? su una cfr emerso fonti reato versione del virus diffusa alla fine com e seguenti indirizzi octo424@gmail com cfr 1 ema pag 60 da aperte in rete OSINT12 ed in particolare emersi nel P4 istruito presso la Procura della Francesco Curcio gli ulteriori fatti tip848@gmail com dude626@gmail che da giornalistiche penale c d indagini ? e dalle macchine compromesse venivano inviati ai carpiti purge626@gmail com dell reati in epigrafe luglio 2011 nel Repubblica di Napoli PM corso del procedimento Henry John Woodcock e allegato 3 dalle analisi tecniche di eventuali nuove versioni del malware e della relativa allegato 4 dell onorevole Questo sarebbe collegato a operazioni di controllo da parte di Bisignani nei confronti infrastruttura di controllo Papa e vds delle Fiamme Gialle nell ambito dell inchiesta relativa alla P4 mediante la OSINT acronimo di Open Source INTelligence ? l attivit? di raccolta di informazioni consultazione di fonti di pubblico accesso 9 Nello specifico tali indirizzi sarebbero stati riconducibili ad illecito effettuata dossieraggio modalit? del con attivit? di esfiltrazione di dati un analoghe tutto a quelle utilizzate e dal malware oggetto del presente procedimento Da quanto vicende suo utilizzare reale utilizzatore Tuttavia anni l negli Riferimenti in tal con la logica persona o pur essendo stato riscontrato in pregresse erano precedenza mai stato non era possibile concordanti che gi? evidenti indizi gravi precisi e EyePiramid e i suoi aggiornamenti fosse stata sempre la stessa persona senso erano conseguenza di ricavabili dalla circostanza che il codice fosse stato sempre lo stesso poter ritenere che il malware fosse gestito nel tempo dalla stessa organizzazione parole In altre come l utilizzo del medesimo malwere in giudiziarie risalire al a narrato sinora si evince chiaramente si deve ritenere che l codice malevolo corrispondeva della licenza MailBee utilizzata all interno del acquirente questi alla persona che in anni gestiva il malware e ne aggiornava nel tempo le diverse versioni Ebbene ? dal gi? citato dominio hostpenta com che si ? potuto identificare l autore o meglio gli autori dei reati contestati Il dominio infatti risultava enasrl Tutti essere com eyepyramid com questi domini risultano privacy altri domini tra i marashen com occhionero stati essere registrati NETWORK SOLUTIONS LLC Registrar whois collegato con e seguenti westlands com utilizzando la medesima societ? statunitense ed attualmente sfruttano il risultati tutti essere collegate ove collabora a vario Ulteriori accertamenti effettuati per il tramite dell F B I statunitense presso la societ? Afterlogic a lui descritto servizio di la sorella o a societ? ma sono gi? con a Giulio OCCHIONERO si evidenziano i occhionero net com offerto dalla societ? PERFECT PRIVACY LLC titolo riconducibili quali Francesca Maria OCCHIONERO Corporation produttrice della licenza MailBee NET Objects permettevano licenza relativa al componente utilizzato dal malware risultava essere stata acquistata proprio In entrambi i casi infatti il malware da dal Giulio dopo aver carpito i dati maggio di appurare che la 2010 al dicembre 2015 OCCHIONERO li avrebbe cifrati e cfr poi allegato inviati a 5 mezzo email Si badi bene il dominio enasrl malware EyePiramid Occhionero come ? anche il com nome al pari di hostpenta com del virus La Westland ? ? presente all intemo del codice del una societ? in cui operano i fratelli emerge dal profilo Linkedin di Francesca Maria Occhionero o 10 dell informativa evidenziati il del 28 04 2016 coinvolgimento conversazioni oggetto di intercettazione 15 logge e societ? risulta cos? di Roma della e come dall indubbio poi essere degli quale in passato ha epigrafe scaturiscono dal del medesimo legame ricoperto il ruolo di elementi sinora del tutto coerente con gli contenuto delle con gli ambienti Nicola Ricciotti Pensiero quanto membro della loggia Paolo Ungari della massoneria italiana in Azione persone su di Giulio OCCHIONERO personali alla luce innegabile sembra essere di quest ultimo nelle attivit? delittuose descritte in L attivit? illecita di raccolta dati interessi Per cui maestro e venerabile parte delle di Grande Oriente d Italia L attivit? di intercettazione Ad ogni modo riscontri pieni intercettazione telefonica e alla sorella Francesca Maria Nel corso a quanto finora descritto telematica effettuate sulle utenze in come di OCCHYONERO ed ubicata presso la sua abitazione ? prelevati dai P C e la gestione alla dei Server identificando di comunicazioni effettuate Per particolare poi basate su server dominio delegata Microsoft per la Directory accesso gestione attraverso ai servizi di directory 0687070848 intestata come a Giulio questi abbia la Corrispondente alla loggia nr vds server rete oltre descrizione dell analisi effettuata si allegato 6 topologia LDAP17 parte dell architettura di le funzionalit? di alcuni dei quali di rete propria delle infrastrutture il DNS per la risoluzione dei nomi di Domain Controller SMB218 i servizi di posta elettronica19 oltre ad un 15 e ricostruire completa di servizi un a IP una ? stata individuata la classica l Active KerberosI6 ed numero vengono memorizzati i file abusivamente ove gli indirizzi rimanda all annotazione redatta dalla PG In di oggetto di infezione dagli indagati tipologia attivit? Giulio OCCHIONERO ed stato infatti riscontrato Dall analisi del traffico dati intercettato si ? riusciti utilizzata uso a dalle emersi seguito riportato nel dettaglio dell intercettazione telematica sull utenza fissa piena disponibilit? sono con autenticazione di la condivisione di file con protocollo tipo SMB e server WEB 773 del Grande Oriente d Italia la piu grande comunione mass italiana Kerberos ? un protocollo di rete per l autenticazione tramite crittografia che permette comunicare su una rete informatica insicura provando la propria identit? e cifrando i dati 16 1 A a diversi terminali d I 11 appurato che tali Si ? inoltre Minnesota presso la societ? 199 15 251 76 ed e a server sono Dedispec LLC Salt Lake server e singoli server Si evidenzia tra i domini che risultano alcuni di pagg 76 cfr malware www emersi per quelli gi? e westlands www marashen aventi indirizzi IP 199 15 251 75 essere Per una server essere server hostpenta info wallserv www ayexisfitness com www gli stessi di server hostpenta utilizzato dal www com enasrl com millertaylor com appartenenti quindi 216 176 180 181 e posta mail wallserv com enumerare avente indirizzo IP 216 176 180 178 risultato e e mail2 wallserv com alla rete utilizzata da alcuni nomi di file essere una in uso che agli indagati corrispondono target dell infezione sottocartelle occhionero info di replica e server e cartelle quello avente DNS che sono riconducibili alle attivit? di creazione del codice malevolom 216 176 180 180 basato website allegato 6 associati all indirizzo IP 199 15 251 76 indirizzo IP 199 15 251 74 ed avente funzioni di Domain Controller sistemi dettagliata descrizione gli indagati presenti sul Nel Prior Lake aventi indirizzi IP server associati al dominio Dall analisi dei dati intercettati si ? inoltre riusciti ad risultati a com Tali domini inoltre utilizzano tutti entrambi Raw Data 216 176 180 181 essere occhionero www www eurecoove com www precisamente allegato 3 segg dell com e si rimanda alla richiamata annotazione di cui all delle funzionalit? dei compaiano USA aventi indirizzi IP 199 15 251 74 199 15 251 75 Utah presso la societ? City 216 176 180 178 216 176 180 180 216 176 180 188 come negli ubicati su ? stata inoltre riscontrata la presenza delle cartelle ed alle principali cartelle utilizzate per memorizzare i file esfiltrati dai informatica in Microsoft SQL Server relative hanger a siti wallserv com westlands il particolare funge da database gestiti dagli indagati com e avente server e indirizzo IP contiene nella cartella marashen millertaylor com com hostpenta com acronimo di Lightweight Directory Access Protocol ? un protocollo per l accesso a servizi di Un server LDAP consente di effettuare operazioni di inserzione cancellazione ed aggiornamento dei dati database generico ma ? ottimizzato per effettuare operazioni di ricerca ed accesso alle informazioni LDAP directory come un SMB acronimo di Server Block ? Message condividere file stampanti porte seriali e comunicazioni di varia natura che la versione 2 del protocollo SMB 19 La posta elettronica era gestita per mezzo dei protocolli un tra protocollo SMTP ed IMAP con principalme usato diversi nodi di una rete gi? citata relazione tecnica redatta dalla 1 1 n n utilizzo di cifratura trami TLS descritte nella SMB2 societ? MENTAT per altro 12 al Ancora suo interno pure la cartella data contenente telematica effettuata nei confronti specifico precisione la indirizzi di riportati nomi cognomi Nello da sistemi si tratta di 1793 corredate da tipologia di target politica una tabella nella web password posta elettronica domini elenco di 18327 un sebbene in username univoche ecc oppure le iniziali dei primi quale ecc alcune delle Nick password catalogate in 122 categorie denominate affari parte target di analisi dei file contenuti ha consentito l estrazione approfondita sono grazie all intercettazione ottenere degli indagati sicch? ? stato possibile quanto gli Occhionero avevano esfiltrato Un database in formato Access 2013 il cui contenuto ? divenuto conoscibile InfoPyramid accdb denominato un quali con che indicano due caratteri del loro nome e cognome Tale database contiene tentativi di infezione In tal di senso un elenco di persone attenzionate pi? o meno dagli indagati che siano state oggetto di riusciti indirizzo presente nella tabella riporti l ultimo si ritiene che il campo LastSender vers? i target posta elettronica utilizzato dagli indagati per veicolare il malware Date campi Tra le Previous starebbero ad indicare le date dei tentativi di infezione e categorie nick pi? significative all interno del database EYE raggruppa 144 diversi account utilizzati dall malware tale nick si ritiene derivi dal nome verosimilmente appartenenti a si evidenzia indagato del malware BROS raggruppa 524 differenti account di univoci mentre i per gestire le dropzonea del EyePyramid posta elettronica relativi membri della massoneria a in 338 nominativi inglese Bros ? l abbreviazione di Brothers ossia Fratelli Tra i nominativi membri di presenti logge si evidenziano elementi di vertice della massoneria italiana del G O L del Lazio cui appartiene anche Giulio OCCHIONERO oltre come esempio Stefano Bisi Gran Maestro della Massoneria del Grande Oriente d Italia Franco Conforti Luigi Sessa presidente del Collegio dei Maestri Venerabili del Lazio Gran Maestro Onorario del G O L Gianfranco De Santis ex La dropzone identifica lo malware 1 Primo Gran spazio Sorvegliante del G O L di memoria ove dati sottratti da un vengono inviati e raccolti i a ad 13 Kristian Cosmi amico ed avvocato di Giulio Occhionero e membro della Massimo Manzo amico di Giulio Occhionero e membro della sua loggia sua loggia Giacomo Manzo membro del G O I del Lazio Franco Conforti candidato a Presidente del collegio delle logge del Lazio Antonio Fava candidato a Presidente del collegio delle logge del Lazio Gregorio Silvaggio Ufficiale della G d F ed ex Presidente del collegio delle logge del Lazio ora in sonno Si ritiene che l interesse che Giulio OCCHIONERO nutre nei confronti dei suoi fratelli massoni possa legato essere a giochi di potere all interno del Grande Oriente d Italia che raggruppa diversi account possa essere e password con dominio categoria vds allegato assume 7 particolare rilievo in quanto come emerso la societa Westland Securities riconducibile Occhionero ha fornito consulenza al governo statunitense in per la costruzione di infrastrutture nel avuto da Giulio e vds POBU contenente 674 account 29 dei lista essere e interno it taranto it si ritiene camera della it password senato it da fonti a giornalistiche Giulio e operazione Francesca commerciale porto di Taranto Conferma dell impegno in tal profilo Linkedin della allegato 8 corredati dalla relativa quali l abbreviazione di PO Political BU Business comprensivi un Francesca Occhionero emerge anche dal stessa Francesca Maria Occhionero possa port l abbreviazione di TA Taranto BU Business Tale senso se ne Tra evidenziano alcuni esteri it e giustizia it o gli password account con si ritiene presenti Cognome Account riconducibili ad importanti Note Parlamentare PdL XVI Maurizio Scelli Legislatura maurizioscelli De Sergio Sergio Gregorio degregorio sergio@gmail De ufficiostampa degregorio@gm Senatore XV e XVI Legislatura Gregorio ail com nella domini istituzionali esponenti politici Nome parte oggetto di captazione testimoniato dal tenore di alcune conversazioni TABU d altra come com Prima IdV e poi PdL 14 Parlamentare PdL XI e XVI Legislat ex Ministro Istruzione 2001 2004 stefanocaldoro@gmail com Caldoro Stefano ed Parlamentare AN XII e XII Legislat Gramazio Domenico segreteria@realtanuova com XVI giovanni lucianelli@cassaragio ex Senatore PdL XV e Legislat add stampa del Sen De Gregorio Lucianelli nieri it Giovanni e Parlamentare PdL XVI Claudio Barbaro Legislatura barbaro_c@camera it Ambasciatore d Italia in ex roberto Spinelli Roberto spinelli@esteri it Messico vincenzomario dascola@senat Vincenzo D Ascola Mario o it Senatore XVII Legislatura Vincenzo Prima Pd L poi AP Mario D Ascola nicodascola@libero it Alessandro Carino alessandro carino@senato it Carla Maffi Angelica Maria carlaangelica maffi@giustizia i Ex t Procura Generale di Brescia Dirig Amministrativo della mariagabriella marsullo@inter Gabriella Marsullo no it segreteria direttore op@intern Armando Forgione o Direttore Ufficio Ordine it armando Forgione Armando a degli account domini di importanti societ? Enti pubblici finanze it istruzione it interno it matteorenzi it Pubblico del Dipartimento della P S int Si fa inoltre presente che molti appartengano forgione@tic interno istat it presenti nel database bench? private o enti gdfit istituzionali bancaditalia it comune roma partitodemocratico it pdl it 1 A it camera quali it privi di password ad esempio senato it esteri it teson t regione campania it regione lombardi cist it unibocconi it t 15 Societ? private aceaspa it enel it eni it Per ciascuno dei domini sopra indicati quali figurano personalit? sono enav presenti di vertice delle societ? e it finmeccanica com fondiaria numerosi sai it posta elettronica account di tra i delle istituzioni elencate oltre che del mondo politico Sono gli presenti tra gli account della BCE e altri l account Apple dell istituzionali degli ex ex Presidente del Consiglio On Draghi Governatori della Banca d Italia Mario Matteo Renzi ora Presidente Fabrizio Saccomanni LastSender Date Previous 30 06 2016 12 06 2016 07 08 11 18 antoniaf@poste it 09 07 2016 23 06 2016 mmarcucci@virgil t 19 41 06 06 io it fabrizio saccomanni@banca 30 06 2016 20 06 2016 ditalia it 10 00 06 31 24 11 2012 16 10 2012 02 58 19 46 09 06 2016 22 05 2016 g simeoni@inwin 14 55 06 01 d it 05 07 2016 22 06 2016 d 22 57 06 20 om Email matteorenzi@me mario com draghi@bancaditalia i papa_a@camera it walter ferrara@esteri it vincenzo scotti@esteri it 1 julia@blu it latagliata@live c p fassino@partitodemocratic 01 07 2016 17 06 2016 o it 08 58 06 08 rita 02 07 2016 16 06 2016 b 17 55 06 30 m 02 07 2016 19 06 2016 12 39 06 24 gpierpaolo@tin it 01 07 2016 13 06 2016 e 06 17 06 22 t 08 07 2016 23 06 2016 p bonaiuti@pdl it mv brambilla@pdl it luca sbardella@pdl it e p@blu it gaetani@live co barbara@poste i i larussa@pdl it 13 38 06 08 stoccod@libero it f cicchitto@pdl it 08 06 2016 20 05 2016 g capezzone@virg 16 d capezzone@pdl it mario monti@senato it mario monti@unibocconi it vincenzo fortunato@tesoro it mario canzio@tesoro it poletti@gdf it capolupo saverio@gdf it Per elenco un pi? dettagliato del annotazione vds il Ancora utilizzato utili all server come 06 28 09 06 2016 21 05 2016 10 37 06 07 baldarim@blu it 06 06 2016 20 05 2016 t elsajuliette@blu i 15 49 06 39 t 30 06 2016 20 06 2016 23 20 06 05 03 07 2016 22 06 2016 17 26 06 36 03 07 2016 15 06 2016 06 11 06 38 09 06 2012 11 05 2012 07 14 16 53 13 11 2012 12 10 2012 08 00 05 25 contenuto del database giannaa@poste it izabelle d@blu it si rimanda all allegata allegato 9 indirizzo IP 216 176 180 181 avente replica del server avente hostname riga westlands com avente indirizzo IP 216 176 180 188 ha svelato ulteriori elementi indagine possibile ricostruire la struttura delle oltre al contenuto dei file transitati e scaricato sul Hanger directory sfogliate corrispondenti uso a Giulio OCCHIONERO ? stato dall utente ai file che l e presenti indagato ha su questo prelevato dal server server proprio PC Si descrivono di seguito le 1 dipriamoj@alice it InfoPyramid accdb Dall analisi del traffico SMB intercettato sull utenza fissa in riga ilio it 05 22 principali cartelle individuate contiene i file esfiltrati dalle vittime suddivisi in sottocartelle ciascuna raccoglie una differente tipologia di dati come di seguito indicato chrmp chrome passwords configuration configurazione della macchina infetta efolder sul PC elle quali 17 emp email fav preferiti del browser graph collegamenti email internet iep passwords salvate su internet explorer mozh mozilla history msnp messenger nfo informazioni catturate tramite il tool msinfo32 exe nk2 cache dei nomi alternativi di outlook nwp network passwords pr?k product id e cd keys di software Microsoft recf file link cronologia di Firefox passwords file e directory locali o remote a skype database delle conversazioni skype src ricerche effettuate sui motori di ricerca usb history dei dispositivi usb connessi wk wireless networks MDaemon contiene i file di configurazione la dal malware gestione dei dati carpiti HIWATER MRK al cui interno di posta caratteri che come descritto HIWATER MRKallavoce stato poi un diretto dell posta elettronica utilizzato p state trovate informazioni relative ai nomi delle cartelle a compaiano quelle presenti Le stesse anche stringhe composte nel campo Nick del database stringhe compaiono o 5 InfoPyramid anche nel file a viene memorizzato in oggetto dei messaggi email ricevuti contiene l identificativo ciascuna delle vittime una e che in base all identit? della vittima data locazione demone daemon in inglese ? un ploeramma eseguito in background cio? tipicamente fornendo un servizio all utente utente inoltre di 4 hostpenta com contacts riscontrato che l univoco che il malware d? questo del demone22 di denominato MailDemon Si ? analizzato il file tra i nomi delle cartelle corrispondono precedentemente ? sono passwords presenti sul server agli utenti ed all oggetto dei messaggi email ricevuti Si evidenzia 22 explorer history cronologia di I E ieh shortcuts 2 tra le vittime software installato lista del ia password senza che sia sotto il controllo 18 MailRouting Rule0 If then SUBJECT contains AS5745G Utente 00359 OEM 8992687 00006 29649A13 to Global move Rule1 If SUBJECT contains MARIO PC mario 00359 OEM 8992687 00015 DA7E17F2 then move to Global Rule2 If SUBJECT contains PAOLASTUDIO HP_Administrator 76434 OEM 0011903 00106 01CC31C4 then move to Global Rule3 If SUBJECT contains PC ALESSANDRO Alessandro 89578 OEM 7332157 00211 44531959 then Rule4 If move move to Global SUBJECT contains PC DELIA Delia 89578 OEM 7332157 00204 BE4E7074 then to Global Rule5 If SUBJECT contains SALAPROF Utente 55274 641 1996064 23453 4FC2F11A then move to Global Rule6 If SUBJECT MARIO PC MARIO 00359 OEM 8992687 00006 3E538BA7 contains then move to Global Rule7 If contains PC Nuova Mar SUBJECT jonio 00371 OEM 8992671 00524 FOCF4FED then move to Global 3 Reports contiene un sottocartella numerosissimi file di testo keylogging che il malware con denominata estensione txt che 2016 al cui interno file a seguito xml installa sui PC delle vittime dell infezione dei PC delle vittime che contengono informazioni riscontrato che nel server C Cn e una file xml uno sigla inserita nel nome del catalogati sono in differenti cartelle a per ciascuna seconda del un generale carpiti sono tipi macchine infette S tipologia di dati sottr file Tali file vengono contengono ad es le password per la posta elettronica di tipologie di file generati sostanzialmente di tre sottratte direttamente dalle ogni vittima genera pi? che viene indicata da presenti contengono i dati carpiti dal modulo di L analisi del traffico SMB ha inoltre permesso di individuare le differenti dal malware sono tipo poi memorizz 10 ti ti di informazioni ch inserite in file xml il cui nome Command and Control C C ? un server utilizzato per controllare l azione di un malware e pi? in botnet inviando file di configurazione alle macchine compromesse o raccogliendo i dati da esse una ? 19 contiene la stringa EMP che vengono C C Un esempio di come ? INIVDCIANI strutturato il tutti memorizzati nella cartella EMP del poi nome di tali file ? il server seguente ciani 00371 OEM 8992671 00007 2F0D873F emp xml a dove INIVDCIANI corrisponde al nome del PC a ciani al nome utente 00371 OEM 8992671 00007 2FOD873F ? l identificativo univoco dell utente ed emp indica la tipologia di informazioni contenute nel file Si riportano di seguito degli esempi relativi ad alcune delle tipologie dei file XML con un estratto del loro contenuto FILE CHRM chrome_passwords_list action_url https puntofisco agenziaentrate it PuntoFiscoHome j_security_check ction_url user_name MNTDNC51M20F839X password Castella8 action_url https user_name password webmail pec it comune user_name login html action_url concerviano@pec it user name password xtIWwTQM password action_url https sister agenziaentrate gov it Servizi user_name LRSGNN82B41F158W password FILE EMP FIRESPA2016 j_security_check action_url user_name password accounts email daniele display_name pacioni@studiolegaleghia Avv Daniele Pacioni it email display_name account_name Daniele Pacioni account_name pop3_server pop3 studiolegaleghia it pop3_server pop3_user daniele pacioni@studiolegaleghia it pop3_user pop3_password danielepacioni pop3_password a 20 email danielepacioni@ordineavvocatiroma org display_name account_name pop3_server pop3_user Avv Daniele Pacioni mbox cert M3015452 legalmail it pop3_server pop3_user 270520131ucio entry_name https owa phc firespa it entry_name type AutoComplete type password FILE NWP st stored_in Regi user_name silvia galletta SG2016 user_name password network_passwords_list item_name Domain target AVVOCATO item_name type Domain Password user pop3_password internet_explorer_passwords_list FILE IEP item display_name danielepacioni@ordineavvocatiroma org account_name pop3_password ored_in email type GIACOMO PC avvocato password gia76como user password file gph contengono elenchi di indirizzi di utilizzati per delineare quali sono le persone posta elettronica pi? vicine e sono verosimilmente alla vittima ossia quelle con cui questi comunica maggiormente attraverso messaggi di posta elettronica file txt sono i file generati dall attivit? di keylogging memorizzati nella cartella del C nominati tali file ? ora come report 2016 gi? evidenziato Il modo con sono cui vengono analoga a quella illustrata per i file xml 20160924 092052 0 PCROMA13 1 ove C denominata e l unica differenza con in cui le informazioni c ciani 00371 OEM 9044722 11968 F21C4016 txt la struttura dei nomi dei file xml sta nell indicazione di data ed sono state catturate 21 Come delle dal o i gi? evidenziato in quali questi file viene distinta da quale si evince come messaggi email che registrate keylogger le informazioni catturate dal ognuna tag che ne indica il tipo Se ne riporta di seguito un breve estratto un venga sono registrato sia ogni azione ci? che viene effettuate sul PC ad digitato sulla tastiera es l apertura o come le password la modifica di documenti ecc 09 23 2016 1 11 12 09 WINDOW 09 23 2016 111 12 09 PROCESS 09 23 2016 TITLE 11 12 09 TORNAGHI SNC Server winfarm WinFarm exe WinfarmEvoluzione Rel 01 52 01 VILLA ADRIANA TIVOLI RM 09 23 2016 I 11 35 31 PROCESS Thunderbird thunderbird 09 23 2016 TMDIForm_2 11 35 32 S N C cod 30131353 C Programmi FARMACIE Codice 00543 Mozilla exe WEB Invio copia ft 5415070021FARMACIE TORNAGHI Posta in arrivo farmaciatornaghi@virgilio it Mozilla Thunderbird 09 23 2016 11 36 23 EDIT Cerca Ctrl K 09 23 2016 l 11 36 23 TEXT Da 09 23 2016111 36 23 TEXT Da Giannelli Emiliano CONIT 11 36 23 TEXT Giannelli Emiliano CONIT 11 36 23 TEXT Oggetto 11 36 23 TEXT egianne@ITS JNJ com 09 23 2016 09 23 2016 09 23 2016 Oggetto Invio egianne@ITS JNJ com copia ft 5415070021FARMACIE TORNAGHI S N C cod 30131353 09 23 2016 11 36 23 TEXT A 09 23 2016 11 36 23 TEXT A farmaciatornaghi@virgilio it farmaciatornaghi@virgilio it farmaciatornaghi@virgilio it 09 23 2016 11 36 23 TEXT Me 09 23 2016 11 36 23 EDIT Buongiorno 09 23 2016 11 36 23 EDIT In allegato trova la copia della fattura da lei richiesta 22 09 23 2016 Settings FILECHANGED 12 57 06 FILECHANGED 10 56 52 10 56 52 Si pdf Login Google Chrome URL ihb cedacri it hb authentication 09 24 2016 I 10 56 58 36 DistintePagamenti KEYS H3454 09 24 2016 1 10 56 52 WEB 09 24 2016 ini Desktop C Documents and winfarm Documenti Downloads 09 24 2016 https Documents and C winfarm Documenti GIORGIO NON TOCCARE 09 23 2016 Settings 12 15 37 login seam abi 03440 lang it KEYS DH241599 riporta di seguito un elenco dei tag rilevanti generati dall attitit? di keylogging KEYS tasti LOGSAVED data di FILECREATED creazione di file digitati salvataggio del log FILECHANGED modifica di file cancellazione di file FIL EDEL ETED PROCESS processi eseguiti URL URL visitate LOGSTOPPED data in cui ? stato fermato il LOGSTARTED data in cui ? iniziato il HGRVERSION versione del malware GHKVERSION versione del malware ACTIVATION DATE data di attivazione del IPADDRESS indirizzo IP con cui la vittima si ? TEXT testo di mail indirizzi di ORGANIZATION nome dell ISP utilizzato dalla vittima per l accesso ad int ISP nome dell ISP utilizzato dalla vittima per l accesso ad inte GHKVERSION versione del modulo GHK del malware o digitate logging responsabile dell utente log log del del keylogger keylogger keylogger connessa ad internet posta elettronica della et t ossia il modulo registrazione delle attivita 23 ossia il modulo versione del modulo HGR del malware HGRVERSION principale del comunicazioni con C e del l infrastruttura C principali delle responsabile malware prelievo ed invio dei dati dalla macchina della vittima Analizzando i dati aventi tag ACTIVATIONDATE all interno dei file txt ricostruiti traffico telematico intercettato sull utenza fissa in come al mese marzo all agosto 2016 2014 e che l infezione di vittime sia continuata 08 19 2016 I 07 35 33 ACTIVATIONDATE Wednesday August 03 sul server ed ? pertanto ragionevole ritenere che l attivit? delittuosa oggetto del come GAMMAL il da diversi anni si sia accertato che il contenuto delle cartelle riga precedentemente delle omonime cartelle presenti descritte nel poi poi al server di C identificati numerosi collegamenti posta del dominio gmx com che di MENTAT cfr pagg 57 e segg dell allegato 3 come sul fosse sincronizzatoM dettaglio suo e avente reports 2016 con quello nome PC tutti i dati che il malware host carpiva C effettuati da Giulio OCCHIONERO verso il indicato nella relazione tecnica redatta dalla corrisponde email utilizzate dal malware per le operazioni di data esame hanger in locale sul PC di Giulio OCCHIONERO quale pertanto riceveva regolarmente dai PC delle vittime inviandoli Sono stati 2016 riga erano presenti numerose cartelle create negli anni precedenti procedimento fosse in essere presenti quantomeno fino server risalenti almeno al 2012 Si evidenzia inoltre possibile March 28 2014 Friday che sul dal d ACTIVATIONDATE Risulta altres? L gi? a partire 18 59 30 09 29 2016 server nuove partire Giulio OCCHIONERO ? stato alcune delle vittime siano state infettate determinare di uso a a al dominio cui exfiltration del traffico dati transitante sull utenza fissa in connessioni permesso di riscontrare la presenza di diverse appartengono le caselle dai PC delle vittime uso verso a i Giulio OCCHIONERO seguenti servizi di Cloud La sincronizzazione del contenuto delle cartelle avveniva per mezzo del software Syncroy poi 24 dav box com webdav 4share com webdav hidrive strato wedav1 che come storegate com identificare malware e indagato Giulio rilevati nel traffico di dai cui PC OCCHIONERO ha tipo parte delle persone una come C dal malware C cfr allegato 3 Dall analisi dei file che l proprio PC di Cloud utilizzati corrispondono agli spazi accertato pagg 30 e segg dell sul com o SMB prelevato dal precedentemente societ? che prelevavano abusivamente dati gli indagati e riga server e descritto ? stato pure scaricato possibile hanno infettato tramite il loro significando documenti che data l enorme mole di dati l analisi volta ad identificare la totalit? delle vittime ? tuttora in corso Si riporta di seguito elenco delle vittime un maggior parte da studi legali e professionali circa 100 macchine pi? significative rimandando per compromesse finora identificate all una allegata dell infezione costituite per la descrizione pi? dettagliata delle annotazione redatta dalla P G STUDI LEGALI ? stata accertata la compromissione di 20 studi legali molti dei quali specializzati in diritto amministrativo e commerciale AVVOCATO MAURIZIO SCELLI Avvocato civilista e Parlamentare della XVI Legislatura eletto nel PdL STUDIO LEGALE GHIA Avv Ghia Lucio Studio legale Fallimentare Risultano Pivanti con e sedi a Roma e Milano in Diritto Societario Commerciale Bancario essere compromessi almeno 5 PC della rete dello studio in alla collaboratrice Marianna Millevolte specializzato segreteria e Spallucci ed ai dipendenti uso all Avv Andrea Cristina Ciani Elisa Giovanni Tomaso amministrazione STUDIO LEGALE BERNARDI E ASSOCIATI Studio legale e commerciale specializzato nel diritto commerciale amministrativo tributario Risulta e essere compromesso il PC dell Avv Cristina Comastri contratti ed in diritto di famiglia specializzata in obbligazioni 25 STUDIO LEGALE CANCRINI E PARTNERS Studio Legale con sede a Roma presta assistenza e consulenza legale nel campo del diritto amministrativo del diritto civile commerciale Risulta e societario compromesso il PC dell Avv Adriana Amodeo essere riferimenti di associato di Diritto Amministrativo presso l Universit? di Roma Tor STUDIO LEGALE PISELLI legale Studio con sedi a Mestre Cagliari Roma e contenziosi amministrativi civili Vergata Londra e Bucarest tributario fiscali contabili e arbitrali pubblica Risultano almeno 2 PC della rete dello studio compromessi specializzato nei rappresentanza ad imprese private ed Enti pubblici in riferimento alla contrattualistica probabilmente in uso all Federica professore PARTNERS servizi di consulenza assistenza essere inoltre stati trovati utilizzato dal Prof Marco Macchia secondo PC infetto un sono Avv Federica Rizzo e in con particolare uso agli utenti P Paluzzi STUDIO LEGALE MASSAFRA Avv Nicola MASSAFRA Studio che offre assistenza legale Amministrativo e consulenza e legale in materia di diritto Civile Penale STUDIO LEGALE AVV GIUSEPPE GRECO Giuseppe L Avv Facolt? di Giurisprudenza direttore di e Greco ? Professore Straordinario di diritto amministrativo presso la un dell Universit? programma di ricerca Giudice Tributario di STUDIO COCCONI Appello per il degli applicata professionale specializzato in in tema di concessioni demaniali marittime Lazio di avvocati diritto commerciale e e commercialisti Studio formato da avvocati rivolte e Capellini sedi e a Roma fiscale e Venezia Risulta essere che si occupa di consulenza finanziaria STUDIO LEGALE SILENZI fiscalit? con consulenza societaria compromesso il PC del dott Mario Emanuele e ? inoltre G Marconi COCCONI Associazione bancaria Studi di Roma PARTNERS e commercialisti esperti nel settore del business ad che offre consulenze nei settori della finanza del credito principalmente al settore delle PML e sory delle assicura o e 26 STUDI PROFESSIONALI STUDIO GIANLUCA PELLEGRINO Studio commercialista di Roma STUDIO COMMERCIALISTI ASSOCIATI GF REMIA UMBERTO E DE DONATIS FLORIANA Studio di commercialisti LUIGI DQTTORINO Consulente del lavoro CFN S R L Societ? di consulenza commerciale e finanziaria con sede a Roma ARCH PIETRO BIAVA ARCH ROSANNA FERRAIRONI SOCIET? DI RECUPERO CREDITI FIRE S p A Risultano essere compromessi decine di PC della rete interna della societ? FIRE S p A ESSEBI GROUP S r L societ? controllata dalla FIRE S p A ENTI ISTITUZIONALI SECONDA UNIVERSIT? DI NAPOLI Risulterebbe essere compromesso un PC della segreteria della Facolt? di Lettere REGIONE LA210 Risulterebbe essere compromesso il PC Contenzioso dell Avvocatura in uso all Avv Elena Prezioso Regionale SINDACATO CGIL FUNZIONE PUBBLICA DI TORINO Dirigente dell ufficio 27 VATICANO CARDINALE GIANFRANCO RAVASI Risultano essere Presidente del compromessi Pontificio Archeologia Sacra e i PC in Consiglio uso a due collaboratori del Card Ravasi dal 2007 della Cultura della Pontificia Commissione di del Consiglio di Coordinamento fra Accademie Pontificie CASA BONUS PASTOR struttura alberghiera di propriet? del Vicariato di Roma SOCIETA DI COSTRUZIONI PULCINI GROUP Societ? di costruzioni fondata da Antonio Pulcini compromessi almeno due PC in Risultano essere quello del titolare Antonio Pulcini uso a dipendenti della societ? tra cui COSTRUZIONI EDILI BERGAMELLI S p A Societ? di costruzioni con sede in provincia di Bergamo ma che opera su tutto il territorio nazionale FINCHAMP GROUP Gruppo cui fanno parte una societ? di costruzioni ed una immobiliare SANIT? GRUPPO INI S p A Il gruppo INI Istituto Neurotraumatologico conta di diverse strutture sanitarie ambulatoriale con Italiano presente in molte aree abilitate al ricovero ed all assistenza del Paese specialistica circa 1 000 posti letto e oltre 1 200 dipendenti MUTUA MBA Mutua MBA ? la pi? prestazioni mediche grande mutua sanitaria a costi agevolati italiana per numero di soci Offre agli aderenti 28 COOPSALUTE S C p A ? Societ? una domanda e nata per costituire Cooperativa per Azioni l offerta di prestazioni e un unico punto di incontro tra la servizi socio sanitari ed assistenziali tutto il su territorio nazionale compromessi almeno cinque Risultano essere PC in uso a dipendenti della cooperativa ALTRO REALE MUTUA ASSICURAZIONI Risultano compromessi essere almeno due PC dell agenzia 676 di Roma e tre dell agenzia 679 TOTI TRANS SRL Societ? di trasporti fallita i cui 150 ma Risultano nazionali ed internazionali della dipendenti sono di Frosinone recentemente stati assorbiti dalla SLI di Frosinone compromessi quasi 20 PC in essere provincia uso a dipendenti della societ? L elenco citato ? stato ricavato analizzando il contenuto dei file che Giulio OCCHIONERO ha scaricato sul telematica ossia per poco vittime per le server riga ed il PC Si evidenzia sia all quali emerso anno poi 2010 e nel di un mese a sua utenza fissa partire dall analisi dei dati ottenuti nel riga erano presenti era dal 23 08 2016 periodo indicato questi aveva impostato la server numerose corso oggetto di intercettazione e contiene pertanto le sole sincronizzazione dei dati tra il sua abitazione dell intercettazione telematica attiva cartelle create negli anni precedenti tale circostanza fa ritenere che le vittime sopra elencate siano solamente del totale costituita da corso pi? in cui la GAMMA ossia quello che utilizzava presso la come che sul periodo PC nel proprio quelle di interesse per gli indagati nel periodo degli anni questi abbiano infettato molte Ulteriori elementi di rilievo a dell intercettazione una e sino parte che nel altre persone e societ? carico di Giulio OCCHIONERO sono emersi dall intercettazione telematica attiva effettuata dal 1 al 4 ottobre 2016 sul PC connesso alla linea fissa installata presso la Si sua abitazione avente riporta di seguito dall agent istallato a un nome host GAMMA estratto degli screenshot elementi maggiormente significativi tal scopo sul PC GAMMA rimandando per una rea zz pi? dettagliata descrizion ti di 29 quanto alle annotazioni redatte dalla P G emerso attivit? del 2 e del 3 10 2016 alle ore del 13 mailpulcinigroup it mail specifico Nello viene sul aperta ossia Si evidenzia che l account InfoPyramid accdb a pierluigi@avvocatomancuso descritto in precedenza delle vittime dell infezione da alle 13 36 del 01 10 2016 nel client di Inbox al cui interno Hanger caselle del dominio gmx com2s uguale sara a sono web Web Sites westlands com abbia la gestione verso del sito ore Outlook stati 25 gi? dominio gmx com nel presente essere non allegato quelli ? infatti visibile il loro per i file xml e che nome txt e poi che con ogni che ha struttura CERTKILL come a letti indirizzati ancora illustrato copiati copiati cartella di 17 file da rete una ZIR3 78 verranno cartella locale avente percorso questo di come Giulio OCCHIONERO che ? risultato essere il dominio utilizzato dal contenuto delle caselle email @gmx com utilizzate per le data exfiltration 23 12 del 01 10 2016 viene visualizzata tramite il client di anche la cartella messaggio Come vengono consultati che la societ? PULCINI GROUP ? messaggi Inbox Reports email inviato all indirizzo email descritto in precedenza posta elettronica ossia l altra destinazione insieme ad Hanger utilizzata dal malware per memorizzare i dati esfiltrati il e it ? risultato contenenti in chiaro indice hostpenta com replicato il posta in arrivo di C una hostpenta com malware verso cui viene ?perazioni di sono Inbox sottocartella parte del malware diffuso dagli indagati sei nuovi precedenza Hanger del C 17 55 del 01 10 2016 denominata alle e marchesan 00371 OEM 9309601 23878 1FD4E1A0 ore sergioscibetta it presenti numerosi messaggi email indirizzari ulpi715@gmx com descritta in memorizzati nella cartella alle sono i file catturati dal malware quella mail me com posta elettronica Outlook viene visualizzata la compresi all account di posta elettronica probabilit? alla mail com Pierluigi Mancuso essere una cartella la client quella relativa risultata ore mail enasrl cartelle pierluigi@avvocatomancuso it indirizzati messaggi in essa presenti database seguenti register it pierluigi@avvocatomancuso it i 12 attivit? del 1 10 2016 11 aperto il client di posta elettronica Outlook all interno le presenti sono allegati 14 attivit? del 4 10 2016 e 11 31 del 01 10 2016 viene quale vds e nello specifico ekehuj2804@gmx com viene visualizzato avente ogg il malware esfiltra i dati dai PC delle vittime inviandoli su casell 0 el 30 il 21 09 2016 alle PA TRIZIA 7 Patrizia 00330 80000 00000 AA227 955E2825 ricevuta contenente in am 8 35 dal modulo di carpiti l omonimo file txt contenente i dati allegato ore keylogging del malware alle ha terminato le 01 00 18 del 02 10 2016 il sistema ideato da Giulio OCCHIONERO ore di sincronizzazione effettuata tramite il citato software operazioni westland remota locale D quella Mail com Hanger ove sono memorizzati i file abbiano esattamente lo stesso contenuto ossia 345120 file come e le cartelle dimensione totale di una per tra la cartella dal malware carpiti Dallo screenshot si evince EyePyramid Hanger Work SyncToy circa 87 Gbyte alle ore Visual Studio del codice del malware Nello per la cui descrizione si rimanda alle pagg 23 inerenti i certificati all interno della classe Ci? ? chiaro indice di un il codice del malware nuove poco funzionalit? dopo utilizzato e l altro 12 identici con specifico dal sta curando l evoluzione com testo del nella sia in essere ore 21 56 alla quale la informa 3 e Mailfaker modifica alcuni valori Web vb la costante introduzione di di presente sul pc da lui remoto avente suo server appurato che i due certificati sorella all indirizzo Francesca del risultato delle Moscow americani privilegio uno sue verifiche in cui Giulio dice testualmente alla sorella Ad messaggio server Alle email una infettare e quindi ogni dubito che abbiano dato ad macchine americane cfr Francesca Maria Occhionero pag 7 dell sono allegato preoccupati di monitorati dalle autorit? italiane26 Il fatto che Giulio condivida immediatamente non con SQL installato sul server emerge chiaramente che Giulio essere allegato e in Giulio OCCHIONERO la persona che ha scritto IP 216 176 180 180 invia autorit? italiana il poter segg dell Hangeron denominatafHangeron Menu proprio recuperato dal modo ? valido pure sui un ne e i moduli apre compilazione cfr allegato 5 focchionero@westlands Nello che e sia specifico confronta due certificati rilasciati da Microsoft hostname Moscow sono come per la applicativo Eye Manager 21 22 43 del 02 10 2016 utilizza l alcun procedimento e con la sorella che i due questi suoi timori parlino esplicitamente dei bench? server a suo apparte rico ti Si fa presente che come emerso dall intercettazione telefonica sulle utenze in uso agli indagati in data 09 09 2016 Giulio Occhionero ? venuto a conoscenza dell instaurazione del presente procedimento penale a suo carico 26 31 alla rete di OCCHIONERO sia riguardo A tal del malware gestione ? indice di chiaro un anche Francesca Maria come pienamente responsabile delle condotte delittuose per assumono dapprima rilevanza grande l email di cui si procede inviata da Francesca risposta a Giulio qualche minuto dopo Bravo Possiamo messaggio WhatsApp il poi e tranquillizzarci testualmente a e Notte po della mattina coinvolgere non che ci sta aiutando pi? mamma nei nostri del dovuto Primo bisogno di riposare e stanotte non ha chiuso occhio e terzo Frasi perch? come vedi a volte sono queste pronunciate Francesca dice quale inequivocabilmente ore non mi sembra che sia problemi dobbiamo aggiungere altri secondo non pu? le scelte da ? stanca e ha queste materie fondando un chiaro concorso capire chiaramente come i ed eventuali accortezze da tenere intraprendere di persone nelle condotte descritte posta elettronica Outlook la cartella Inbox Hanger a su abbastanza dei falsi allarmi 09 13 01 del 02 10 2016 viene nuovamente visualizzata per indirizzari gi? problemi darci alcun aiuto da Francesca Maria Occhionero che lasciano due si confrontassero circa alle nel alle 8 25 seguente Giulio Giulio ti prego di coinvolta un contenente numerosi caselle del dominio gmx com tramite le quali del client di mezzo messaggi email gli indagati esfiltrano i dati dai PC delle vittime Si evidenzia alle ripete come ore tale operazione 16 16 52 presenza di nuovi dati indice di i server remoti come pi? volte nell sono acquisti ? stato e pin accertare che tutti i possibile uso dell carico cancellando dati che meglio di erano presenti a partire dalle sia sul seguito specificato significando azioni effettuate si rimanda all annotazione ore come partire a suo degli PC locale che che per una dalle con ore 14 41 del elementi di prova su dettagliata alcuni dei server descrizione delle riportata in allegato 14 14 42 16 ha eliminato alcune delle credenziali di ewallet ossia nel gestore di collegamenti applicativo remote desktop 04 10 2016 Giulio OCCHIONERO abbia dato inizio alla distruzione come si giornata 112358 L analisi di tali screenshot ha inoltre permesso di accertare remoti della Giulio Occhionero controlli costantemente la stati effettuati mediante l autentificazione tramite smartcard suo arco carpiti dalle vittime Dall analisi effettuata sui dati verso venga effettuata password da lui utilizzato accesso presenti nel suo 32 alle locale cui Archive tra vede che tutti Hanger e tre i file in Si evidenzia che memorizzato sul ore tramite l elettronica utilizzato per la applicativo account che gli Successivamente per C MDaemon Users ore gestione sono per garantirsi dei dati deliver carpiti di torbrowser xema11757 con collega index al riga server posta Si elencano di archive hgr freports e reports entra all interno della cartella e hpool Studio accede al codice del malware Core vb Dai moduli com e e particular3 particular2 particular messaggi compilatore Microsoft Visual m MailDemon dal malware gpool hpool presenti preleva utilizzando una le credenziali di connessione anonimizzata procede alla cancellazione degli account 8SFNkkaH password V1hr ER T82 si evidenzia che tali account contenevano dell architettura del C dell aveva riga di Windows si ed elimina la sottocartelle archive password H con remoto deliver3 deliver2 al servizio di cloud hidrive strato veplo60822 pst sopra indicati quindi Giulio server la totale cancellazione dei hostpenta com 15 41 tramite il mezzo il malware dei dati esfiltrati dalle vittime che Desktop Remote stati cancellati ed apre la classe denominata accesso quali tramite i com Reports vengono e account ad eccezione dell account test del demone di special5 special4 special3 special2 special alle copia Hanger PC alla rimozione di tutti seguito gli @gmx Eliminando i file 15 11 43 cancella i dati esfiltrati anche dal A tal scopo infatti procede nelle cartelle precedenza cancellato la quindi suo si posta dei relativi account dall immagine di email inviati alle caselle esfiltra i dati dai PC delle vittime OCCHIONERO ha e questione risultano essere stati creati il 10 02 2012 descritto in come messaggi memorizzati i messaggi PC in suo Hanger pst eliminando i files Archive pst Reports e contenevano tutti i Reports pst che alle sul posta elettronica presenti 14 56 36 ha cancellato alcuni account di ore parti C utilizzato per la nello specifico la gestione zona del malware denominata Base cfr pagg 30 e segg allegato 3 Successivamente procede della stessa classe e alla cancellazione di altri account connessi alla medesima architettura del C https llwebdav hidrive strato com usersfjapawa65731 https llwebdav hidrive strato com anulcia@msn e com users gola34757 stringhe presenti C come di all interno seguito elencato 33 hgrghk tmpwebshell e carrier rimuove i valori relativi alle variabili https llwebdav hidrive strato com usersidruza29461 babe1964@hotmail it atccorp in@gmail com https llwww dropbox com s 6c579w98hmjd2o3 XHJe8MUmvT34 dl 1 https llwebdav hidrive strato com wgetl8DWrt2Kg MN600 849590C695DFD9BF69481597241E 668C licenza MailBee MN600 481597241E8D9BF6949590C695DF 774D licenza MailBee password 8ST V uSe@ presente nel modulo PCMDPWD passwordCxwU1u alle ore ME presentenelmoduloWEBDECCERTPWDNEW 15 57 25 accede alla classe cEmailfob vb contenenti le variabili ds1 ms1 dc1 ds2 ms2 alle ore e procede alla cancellazione delle e procede alla cancellazione di altre due presenti nel codice MN600 3 E3A3C593AD5BAF50F55A4E D60E0 385D MN600 AD5B AF50F55A60E043 E3 A3C593ED 874A alle ore 16 00 17 modifica la classe mWakeUP vb eliminando le username URL URL URL lu_1974@hotmail https lldav box com seguenti credenziali com https llstorage driveonweb delprobdav dav username usernamebalu9487 gaia gennarini@yahoo it https llwebdav cloudme com fugik12239 xios username fugik12239 cozzolinofrancesca@hotmail it URL https lldav box com dav UR L https lldav box com dav username username righe dc2 15 59 16 ritorna sulla classe mCore vb licenze MailBee e ultu40166@yhaoo co uk cucciola87ps@hotmail it URLhttp llwebdav 4shared comusernameeyiri33730@yahoo username whatsupevents@hotmail it username wuldeh2207@gmail com username mascia_msn@hotmail es it URLhttp webdav cloudme com gako6649 xiosusernamegakod6649 34 url https llstorage driveonweb delprobdav username luther5498 username Alle ore come di ale_pala84@hotmail it 16 09 47 elimina alcune ricerche avanzate che sul suo PC si pu? seguito elencate AND fiorillo foldermessages folderreports AND vitalino fiorillo folderreports AND giulio occhionero folderreports AND postepay folderreports AND antonio pulcini folderhanger AND antonio pulcini AND foldermessage stefano galiardi folderreports AND gdf it folderreports AND giuseppe campanelli folderhanger AND giuseppe campanelli foldermessages AND foldermessages AND 4shared foldermessages AND theboxteam@box foldermessages AND hidrive foldermessages AND box Non ? preimpostato aveva nota la sintassi studiodangelo@hotmail com com esatta di tali affermare siano riconducibili ragionevolmente ma query a considerandone il ricerche di parole nome chiave effettuate in specifiche cartelle in tal senso ad esempio le query AND antonio pulcini pulcini effettuate all interno delle cartella ed Reports esfiltrati che Antonio Pulcini ? Hanger Appare quindi evidente come da ci? sarebbe derivata l intero ogni volta AND antonio pulcini starebbero ad indicare due distinte ricerche delle le cartella e folderreports reports ed hanger si fa presente e folderhanger keyword a antonio e tal proposito che vengono utilizzate dal malware per memorizzare i dati una delle vittime accertate di infezione le ricerche sopra elencate venissero esigenza di salvarne il contenuto per ripetute con frequenza e non doverlo digitare per 35 Terminata tale malware che della alle dopo subito Work e accede alla cartella del disco locale dove ? memorizzato il denominato Eyepyramid e cancella alcuni file 16 10 27 accede alla cartella D ore quale sono presenti storagate com D come noto ? specifico Nello operazione com cancella il contenuto delle cartelle storagate alle ore ed esegue le cancella i file smtps xml graph bak e Forms all interno email it gmx com hidrive com e com e gmx com 16 12 47 accede alla cartella del modulo EyePyramid Mailfaker cartelle Eyepyramid Work 5 sottocartelle denominate aol e al percorso Mailfakern seguenti operazioni tasks xml cancella il contenuto del file alerts txt alle alle ore 16 14 41 cancella anche la cartella D Work 16 15 19 accede alla cartella D Work ore XML XML modifica i file params xml Notepad 16 16 06 cancella la cartella D Work alle ore che paiono essere file doc e pdf esfiltrati EyePyramid Networking EyePyramid Obj wuc xml e utilizzando e un editor jfbc xml Reference EyePyramid dai PC delle vittime e che contiene quelli che hanno date di ulti a modifica comprese tra il 29 10 2010 ed il 05 05 2011 Quanto ricavato dalle intercettazioni telematiche pu? essere emersi anche dalle attivit? di intercettazione telefonica effettuata sull utenza mobile 347 2384800 intestata ed in seguito riportato nel dettaglio alle ore vds per la quale avrebbe dovuto trasferirsi poi parla Server28 e tra a del quale le l altro ci sto deviando certi Tale affermazione gestione a una quella come dice parla con la sorella Francesca Berlino per 5 mesi l ho usato un po seguendo mo tra cui lo sto usando me uno su lo so SQL installato riferita ai descritti nel log dettaglio dei in server facenti parte l infrastruttura di precedenza nella quale Giulio parla Il modulo Mailfaker ha il compito di inviare messaggi email contraffatti come mezzo di propagazione del malware cfr pag 25 dell allegato 3 28 SQL Server ? un sistema relazionale di gestione di database prodotto dalla Microsoft 27 di log dei nostri cosi palesemente del malware a proposta di lavoro che lui avrebbe ricevuto e alla sorella dei corsi di informatica che sta proposito riferimento Giulio OCCHIONERO 07 2016 Giulio OCCHIONERO Maria ed inizialmente i due discutono di Giulio particolare con uso a dai rilevanti elementi allegato 15 giorno 31 10 41 19 del completato al 36 lascia chiaramente intendere plurale delittuose di cui al partecipazione La serve un siano entrambi SQL replicato li dell infrastruttura in creato un questione ore 17 17 24 del app per continui ad usare il server ma te lo metti li Si evidenzia infatti due stronzate far ad indicare plurale lui le dice giorno 08 08 2016 quando parte che noi ce li abbiamo i a ulteriormente confermata dalla poi di Francesca Maria Occhionero appare gente che vive avendo nelle condotte partecipi presente procedimento conversazione avvenuta tra i due fratelli alle Se ti come come ? guarda c parlando come questa sia gestita da entrambi Rilevanti elementi circa le responsabilit? di Francesca Maria OCCHIONERO anche dalle attivit? di intercettazione telefonica sull utenza mobile 3492943428 di seguito riportato nel dettaglio Alle del ore suo 12 01 30 del vds se ? stato risolto il risponde che ha ancora problemi ad accedere alle cartelle condivise che ha sul dominio westlands com esplora di solito mi faceva nega l accesso non Dal dice poter accedere esse A a un dominio quelle Microsoft cartelle le cartelle condivise di sfogliare tutte ? non sua linea fissa regolarmente Per poi aggiunge di lavoro dunque quindi me io lavoro io per accedere che com a ? cosa quel punto lui questo dominio westlands adesso invece mi il dominio ? fuori possibile raggiungerlo Chicago a in America perch? noi accediamo con smartcard della telefonata appare OCCHIONERO sia solita connettersi ai accertato di tramite la risorse e chiamo slash slash ed il dominio che ? westlands ha le credenziali contenuto directory condivise io devo quindi io apro faccio sono che problema mentre riesce ad accedervi utilizzando la connessione del cellulare Francesca Maria Occhionero da remoto come giorno 05 10 2016 infatti l indagata riceve una chiamata da parte di un tecnico lamentato Lei fondamentale perch? lei intestata a allegato 17 Internet Service Provider la societa McLink che le chiede questa aveva infine emersi sono corrispondono ai server di C evidente server quindi anche come del dominio westlands C del malware e sfogliare com Francesca che come Maria ? stato le cartelle accedendo ai fi in contenuti ossia ai dati esfiltrati dalle vittime ulteriore responsabilit? stato l completamente di entrambi atteggiamento del presente compendio probatorio gli indagati per i fatti per cui si tenuto da Giulio perquisizioni domiciliari cui sono stati e e per procede giova meglio evidenziare Francesca Maria OCCHIONERO oggetto in data 05 10 2016 definire 1 nel quale corso sia delle 37 I due resosi conto della ad un presenza degli operanti hanno cos? complesso sistema di videosorveglianza porta della propria abitazione grazie innanzi alla agito Giulio OCCHIONERO ? immediatamente tornato nella stanza adibita riavviato il suo PC che evidentemente era regolarmente acceso sul sistema di cifratura BitLocker della Microsoft rendendo in tal modo dati in esso a quale studio ed ha era installato il impossibile l accesso ai contenuti Francesca Maria OCCHIONERO nel della madre ove era stato rinvenuto richiesta di fornire la di password della corso un PC accesso perquisizione acceso e l effettuata nell abitazione bloccato sulla schermata di indagata ha volte digitato pi? una login alla password errata causando il blocco definitivo della smart card Non solo Maria ma durante la successiva verso un PC comandi dalla tastiera dalla sua In altre portatile riusciva a che era acceso e entrambi dopo sfiorare la smart card in sede e causando il blocco del sistema parole effettuata presso la nell atto di assistere alle attivit? OCCHIONERO lanciandosi perquisizione gli indagati hanno univocamente indicativi della loro volont? di ha aver sua abitazione Francesca compiuto un gesto repentino inutilmente tentato di inserita sfilandola esso impartire leggermente operativo posto in impedire essere l computer al fine di evitare il rinvenimento di elementi comportamenti accesso manifestamente alle memorie dei probatori e propri personal rilevanti per il procedimento penale de quo Qualificazionegiuridica dei fatti Chiaramente integrati all interno di un malware risultano i reati in medesimo informazioni mondo della politica e e disegno epigrafe criminoso volto ad dati sensibili che dell alta finanza indagati ha integrato acquisire permettessero grazie disponibilit? dei professionisti che vi operano e La costante attivit? di indicati tutti evidentemente a un mediante l utilizzo di ai due di avvantaggiarsi nel cospicuo patrimonio delle autorit? pubbliche conoscitivo nelle di riferimento monitoraggio delle comunicazioni cos? come posta in la violazione di pi? norme incriminatrici compiuti essere d i ue 38 In luogo primo bersaglio sistema informatico il utilizzando malewere delitto attraverso momento dell quali accesso o sono virus li di keylogger e quindi carpisce di accesso tutti imporgli ogni condotta e ordini account in gli on 3 dell art 615 ter c pubblico p originarie prime tra tutte da interferenze esterne Non si l line in profili esportazione di operazioni gestite dal comporta un anche la funzione le chiavi tutte titolare nel l hacker social La ecc comma dell o relativi all ordine e di corso di accedere contestata art 615 ter c sicurezza p attesa comporta pubblica comma o 2 del virus inoculato certamente altera il interrompendone parzialmente trascurare sistema fattispecie aggravante di cui al protezione predisposte proprio pu? dei dati suo i captare per imprescindibile Controllo condizione sul punto che le funzionalit? al fine di ogni preservarlo malw e la modificazione alterazione d 1 informatico infiltrato alterandone il funzionamento delle protezione atteso che in molti casi i sistemi informatici atteso che la natura quelle possiede utilizzate dal o sistema conseguenza Sussiste in fine l ulteriore funzionamento del sistema infiltrato permettere mette certamente di interesse militare comunque di interesse o un di Comando aggravata prevista dall ultimo la natura di molti dei sistemi infettati n sia possesso del titolare del sistema infettato caselle di conti correnti inoltre la forma aggrediti sono La distanza a di infezione di trasmette al centro Conseguentemente posta elettronica cluod assume accesso muniti viene sistematicamente violata sia al informatico conservate nel sistema a l consente parte dell hacker di comandi da dell azione di infezione informatica Peraltro il virus utilizzato abusivamente infettato stato sottopone ad attivit? di controllo indeterminabile di accessi abusivi successivi web sistema a iniziale per l inoculazione del virus sia nei momenti successivi nei contenuti ivi custoditi In sostanza connessioni sia mirata dei suoi contenuti l hacker accede al sistema infettato per numero hackeraggio predetto quindi e imposizione estrapolazione generalizzata informatica di cui i sistemi infiltrati il Infatti EyeFiramid distanza realizzata sia attraverso l abusivo accesso della condotta di indiscriminato da remoto ai sistemi infettati a di condotta che ricorre in tutte le occasioni nelle quali art 615 ter c p informatici telematico il il configurabile ? informatico con grave rischio per la Tale ulteriore si pericolo oltre a istema ezza ap are 39 quando estremamente grave i servizi resi dal sistema informatico violato sicurezza nazionale Basti pensare al il alle condotte illecite descritte dell ENAV contenente al primo atto scoperto grazie tentativo di informazioni quale si ? alla potuti risalire del sistema informatico hackeraggio dati relativi alla sicurezza e pertengono pubblica nel settore dell aviazione civile Inutile spiegare quanto delicate e cruciali per la sicurezza nazionale relative all ente nazionale aviazione ai dati dei rotte di volo alle siano informazioni dipendenti ove soprattutto si consideri il clima politico mondiale odierno La pena edittale per le condotte sussumibili all art 615 ter reclusione per l cui al ipotesi aggravata di 2 co n 3 della medesima pubblico di cui fattispecie aggravata agli artt 617 a cinque carcere quater 617 e quinquies c entrambe nella forma p di intercettazione abusiva del traffico telematico La finalit? di interesse informatici infettati determina la quater co 4 n 1 rispettive pene edittali Sul particolare acquisizione e 617 da 1 a quinquies di alcuni di essi altamente probabile quale sono 2 che nella sistemi serventi molti tra i sistemi delle circostanze comma con server e in ultimo informaziopni ed atti fatti narrati spazi per l aggravamento segretezza alla configurabilit? dati dei contenuti su pubblico generato dai e aggravanti effetto di cui all art speciale fissano le che l ulteriore 5 anni di reclusione disvalore dei conservati attualmente ulteriori la ricorrono invece in relazione alle condotte di installazione abusiva nei sistemi conseguente attivit? 617 caso quindi applicabile informatici hackerati di softwere idonei ad intercettare comunicazioni telematiche infettati anni di nei termini indicati dal da tre ad otto anni il che rende norma richiesta misura della custodia cautelare in Le p ? da uno 3 del citato articolo aumentata nel in cui il sistema informatico infettato rivesta interesse comma c esteri oggetto pertinenza sarebbe inevitabile nell ambito die delitti contro la sottolinea sottratti al settotre dagli indagati rogatoriali gi? atteso che qualificare personalit? dello gi? di attivit? delle contestazioni la loro si una politico e avviate e 257 c apre volta dimostrata la o militare gi? oggi ricondurre le azioni cri Stato artt 256 e p in e 40 ESIGENZE CAUTELARI L analisi dei non singoli episodi si tratta di condotte isolate hanno gestito i loro affari presente procedimento ricostruiti nel ma di un modus interessi economici e dei due operandi e mostra chiaramente che indagati che per anni secondo le descritte modalit? personali illecite Oltretutto il ricorrere di alcuni indizi probatori anche in altri procedimenti aventi similare oggetto fratelli nel lascia intendere che la ma presente vicenda che al contrario si collochi in politica e della finanza settore della Ci si riferisce in al diretto particolare un non sia pi? ampio contesto secondo le modalit? sin collegamento tra soggetti relative alla informazioni anche c d P4 aventi ad oggetto di imputazione delle indagini di 4 caselle corso da coperte nonch? di altri dati sensibili o personali al fine di consentire ed al di l? di procedimenti penali pericolo che Giulio non e qualsivoglia collegamento pu? con in e corso di eludere le stato qualora non dimostrato con altri un concreto attuale e permangano in libert? specie di quelli per cui si procede Primo dato da cui desumere tale concreto coerente allo dubitarsi della sussistenza di commettano altri delitti della stessa un di notizie utilita Francesca Maria OCCHIONERO di tale illecita attivit? per acquisizione soggetti inquisiti a dalle emerso segreto alcune delle quali inerenti a procedimenti penali indagini giudiziarie ovvero per ottenere favori o altre Ci? premesso l illecita oggetto anch esse operano qui descritte posta elettronica gi? utilizzate per attivit? similari secondo quanto indagini di dove pi? le condotte ed interessi illeciti oscuri desumibile dal rinvenimento nel di isolata iniziativa dei due un pericolo ? costituito lunghissimo periodo gli ingenti quantitativi sin dalla riscontrata protrazione dagli di dati raccolti le anni 2011 2012 numerose persone il che ? se uite i 41 consistenti numeri dei soggetti istituzionali dei sistemi informatici di interesse e pubblico monitorati mediante il malware La ripetitivit? la e la grande spregiudicatezza con manifestazione anche il accertamento preordinata delle condotte delittuose si accompagnano pervicacia quale i due indagati le hanno poste in delle medesime mediante ad dai medesimi comportamento inquinare il attivit? una quadro probatorio tenuto di cui appare essere impedire volto ad attraverso una l chiaramente si ? illustrato come alla peraltro sistematica distruzione delle prove Al riguardo lo perquisizioni preciser? in stesso atteggiamento dai due fratelli Occhionero tenuto in occasione delle condotte dalla P G presso i da seguito rispettivi domicilii appare connotato notevole scaltrezza dalla una abitualit? delle illecite condotte ed un assoluta quale come pure ? dato desumere inconsapevolezza si una delle del disvalore stesse in tale contesto il Orbene intensit? dello stesso rende grado appare l unica in pericolo pi? che concreto ed attuale e l assolutamente necessario il ricorso alla misura custodiale che di escludere la reiterazione di reati della stessa indole possibilit? in maniera assoluta la di recidivanza ? di utilizzo di qualsivoglia limitando strumento tecnico a ci? necessario Non infatti pu? non essere costituita da minima monitorare l uno operativit? smartphone dei malawere ricorso alla misura cautelare pure non applicate evidenziato degli cumulativamente come e gi? una sia sufficiente una dotazione informatica per continuare connessione internet il che rende del tutto attivati arresti domiciliari stante l assenza o a inadeguato misure meramente di alcun significativo a il prescrittive effetto deterrente precludendo queste la possibilit? di perseverare nei comportamenti contestati Non solo profilo come tecnico gi? ma detto la reiterazione delle condotte appare assai pure della botnet tramite la ospitata su server va quale evidenziato internet ubicati all estero gli imputati gestiscono non A l sottro il essendo l intera struttura di controllo come si ? accertato che agevole ? i P C compr possibile procedere m al loro seque ssi r il 42 che non consente di determinato periodo frapporre al fine di trasferire altrove il controllo della botnet contenuto di dati ed informazioni sino ad Tale circostanza ora inquinamento probatorio che appare concreta della condotta di occultamento di dell ulteriore concorrenza e e salvare l un ingente illecitamente acquisito peraltro permette ai prevenuti la evidenziando al loro utilizzo per agli indagati ostacolo alcun le prove poter cancellare cautelare esigenza e non astrattamente distruzione delle prove gi? a loro carico di pericolo del prevedibile in ragione consumata da entrambi gli Occhionero Si sottolinea infatti come sia dall attivit? emerso informatici fonte di ulteriore riscontro delle condotte illecite cancellati dai hanno cominciato predetti quando questi svolta investigativa alcuni dati come siano stati commesse gi? sospettare dell esistenza del a presente procedimento Tale attivit? di cancellazione immagazzinati rogatoria gi? su server non ha tuttavia avviata presso l autorit? emersi peraltro gi? quando a presumibilmente utilizzate in La volont? precedenza e quando acquisizione tale infrastruttura un codice di ? oggetto come poste sotto sequestro in accesso inoltre alcuni account di servizi di Cloud Ad ulteriore riprova statunitense di congelamento di assenza delle e Seattle dei dati contenuti nei fonte di prova si palesava chiaramente riferisce cui l server Giulio data 05 10 2016 Storage che si sono smart card erano sviluppato nella sua come i carpiti disponibilit? e che 14 competenti uffici dell Ufficio del P M utilizzati gi? in cancellando procedimento per cui si procede cfr allegato tale volont? Washington di per il dominio della Westlands Giulio OCCHIONERO eliminava sia i dati abusivamente elementi rilevanti per il gi? procedura precedenza descritto in dai PC vittima di infezione che il codice stesso del virus da lui contenevano di al controllo della botnet e allo scopo di autenticarsi anche in degli indagati di distruggere ogni data 04 10 2016 dati maggior parte dei la giudiziaria statunitense in data 08 10 2016 Occhionero richiedeva ed otteneva Securities estero la cui collocati all Tentativi di accedere nuovamente riguardato dagli indagati si era rivolto pe il abbiano comunicat 43 Raw Data 216 176 180 X che riconducibili ha ricevuto la richiesta da sono presso la quale che la societ? risultati essere sono di ospitati i server della classe di indirizzi IP propriet? degli indagati parte del cliente di o di persone scollegarli a loro dalla rete e spedirglieli tenore altra Dello stesso sono ospitati sono di i del cliente ha chiesto di Alla luce di di Dedispec provider e sono stati solamente presso la questo caso quale invece cui il noleggiati dagli indagati scollegarli dalla rete tentativo quanto detto risulta pertanto chiaro ed inequivoco il distruggere LLC della classe di indirizzi IP 199 15 251 X che in server propriet? richiesta ricevuta dalla societ? le fonti di prova loro carico che a come descritto si trovano degli indagati sistema su un e non ancora del tutto che esistano altri server di gestione della botnet che non sono informatico estremamente distribuito ed ubicato in paesi esteri noto Non si pu? quindi escludere stati individuati nel corso delle indagini permettere agli indagati di ripristinare utilizzato fino ad oggi consentendo o addirittura di backup che possano completo il sistema informatico da loro proseguire le condotte delittuose che hanno nel loro di server portato ayanti per diversi anni Orbene anche tale ragioni gi? carcere esigenza cautelare appare adeguatamente tutelata evidenziate avendo i solo con prevenuti gi? l applicazione offerto capacit? di inquinamento e distruzione Al riguardo pure ? Occhionero di ampiamente emersa gli esiti attraverso possibilit? di contatto l una significativa e reale delle prove la sussistenza di il una rete di contatti che consente presente procedimento penale dimostrato l attivit? di intercettazione da ultimo ed influenzarne collegamenti della misura cautelare della custodia in ampia dimostrazione di acquisire informazioni riguardo volont? dei medesimi ed in per le medesime particolare dell Occhionero Giulio registrata ed di conoscerne come una i agli ha precisa particolari dalch? appare assolutamente necessario recidere anche tali applicazione di una misura cautelare che escluda q alsiasi 44 Rileva in ultimo il poi pericolo di residenti a fuga giudicante come nei confronti dove GB senza dubbio Francesca Maria OCCHIONERO ? cittadina anni insieme al fratello ed alla di lavoro colloqui famiglia esse In e ha tale ove Regno Unito esigenza cautelare appare dotata contatti e in esigenza ragione sottrarsi alle Si questi o ore che gli ? alle ore del carattere di Si evidenzia a abbia la possibilit? determinata dal giorno 08 sul da tempo punto le da alcune di un intensa attualit? Giulio ben potendo di utilizzare alcuni di questi estero pi? impellente presente procedimento penale di italiana 08 2016 Giulio OCCHIONERO comunica alla madre proposto un lavoro presso la sede di Londra della Deutsche Bank 18 39 47 del giorno head hunter che un sede stato sta punto alcune delle conversazioni di interesse 18 09 55 del alle cfr lavorativa di Giulio OCCHIONERO ? certamente indagini della magistratura sul ed ha abitato per in Polonia per darsi alla fuga trasferendosi all della necessit? riportano quindi da che opportunit? lavorative D altro canto l proprio ritenersi nata che Giulio OCCHIONERO soprattutto in relazione alla posizione dell indagato Occhionero ragionevolmente ? che circostanza che anche dalla Stati Uniti sono conoscenze gi? ricevuto manifestazioni di interesse per posizioni lavorative in Irlanda particolare fuga e societ? aventi sede all estero con intercettazioni telefoniche in atti degli e di locali dispongono facilmente consentire loro di darsi alla effettuando anche il che appare fondato oltre che sul dato inconfutabile che entrambi Londra potrebbero sussista degli indagati 05 09 2016 Giulio OCCHIONERO riceve posizione gli propone una pi? volte nel corso all interno di una una telefonata azienda che ha Dublino come si ? rivolto ad un sia emerso delle cosiddetto head hunter28 per trovare indagini un che Giulio OCCHIONERO impiego all estero idoneo alla sua professionalit? 29 Head hunfe7 ? un effettua ricerca diretta posizioni diriger ziali termine informale per indicare chi svolge la professione di executive search ossia i e selezione del personale mirata a trovare i manager pi? adatti a ricoprire all interno di aziende e organizzazioni AA 45 alle 16 13 39 del ore Francesca Maria tra e 617 per i reati di cui all articolo indagato Giulio OCCHIONERO ? quindi presente procedimento penale a suo carico anche venuto se a conoscenza 16 41 10 del ore Francesca Maria di giorno aver stato ricontattato stato per un ricevuto 08 39 22 sottoposto a e con denominato opzione telefonico e sua posizione giorno 08 quale il Tim che nei e successivi sarebbe giorni questo fosse andato bene sarebbe se 10 2016 ossia tre in Tale attivazione anche alla luce della di parti giorni dopo messaggio un stato SMS concatenato Full Viaggio pacchetto che comprende traffico Europa particolare circostanza temporale in cui ? avvenuta che Giulio OCCHIONERO possa darsi alla pericolo essere viene informato che sulla linea ? stata attivata telematico da utilizzare in fa ritenere reale il telefonata ricevuta dalla Deutsche Bank che riceve le due perquisizione email riservata presso la loro sede di Londra 08 39 24 del inviato dalla TIM una colloquio dopodich? organizzato un incontro ore una dell esistenza del 21 09 2016 Giulio OCCHIONERO racconta alla sorella sembrava molto interessata alla alle quater C P ipotizza si tratti di momentaneamente fatta nei suoi confronti per la rivelazione del contenuto di alle l della visione del certificato ai seguito a P M Albamonte In tale occasione querela OCCHIONERO chiama la sorella 09 09 2016 Giulio l altro la informa che ? risultato sensi del 335 C P con giorno fuga recandosi all estero alle ore 23 06 14 del SMS avente il giorno seguente 08 10 2016 Giulio OCCHIONERO riceve testo 446226 Use this code for un messaggio Westlands Securit verification Si ritiene che l aver richiesto e successivarnente ricevuto tentativo di Giulio OCCHIONERO di della quale evidentemente utilizzate in come non descritto riusciva precedenza per pi? fanno avere accesso parte i ad accedere a tale codice possa palesare il alla rete della Westlands Securities server di seguito del gestione del sequestro delle malware sm cui rt card che l autenticazione I 46 Un altra conversazione nella quale OCCHIONERO viene manifestata la volont? di Giulio di trasferirsi all estero per motivi di lavoro ? poi dall intercettazione telefonica emersa effettuata sull utenza fissa 0687070848 attestata presso la sua vds abitazione Allegato 16 In data 08 10 2016 infatti costui ha ricevuto che chiamare e navigare dall In conclusione deve di recidivanza a N? d altro contestate pu? permette di che di fuga all estero della loro nonch? dell a fronte dei di strumenti atti l unica misura adeguata a delle di pericolo in quali ripetitivit? e pervicacia assenza degli indagati prevenuti concreto ed attuale un della loro realizzare appare un quella della effettiva condizionale della pena gravit? a come delle condotte che la pena che verr? loro inflitta potr? fattispecie consentire la concessione del beneficio della sospensione qualsiasi valutazione al di l? della circostanza che allo stato appare assolutamente cos? da escludere cos? ritenersi alla luce delle pene stabilite per le contenuta in limiti atti prognostica opzione carcere canto e e modalit? delle condotte efficace controllo nei confronti della custodia in sussistendo qui esposte consistenza ed estensione oggettiva Full gestore telefonico prezzi ridotti inquinamento probatorio ragione delle gravi viaggio suo affermarsi la sussistenza nei confronti dei due quindi sin esigenze cautelari estero SMS dal messaggio confermava l attivazione del servizio TIM in gli essere un negativa ai sensi dell art 275 co o comunque 2 bis c pp l entro i tre anni applicazione di reclusione della custodia in carcere P Visti gli artt 272 e ss e 285 c QM pp APPLICA Con riferimento ai reati contestati di cui quater n 1 c p commi 1 a 4 n 1 617 quinquies agli artt co 615 ter commi 1 1 3e 2 con 2 rif all art 617 n 3 e 3 617 quater comma 4 47 OCCHIONERO Giulio nato a Roma il 21 01 1971 residente a Londra GB ma di fatto domiciliato a Roma in via Ernesto Calindri nr 3 OCCHIONERO Francesca Maria Londra GB ma di fatto domiciliata nata a la misura della custodia cautelare in Ordina agli ufficiali ed agli agenti traduzione dei medesimi presso autorit? giudiziaria Dispone che dell il 31 10 1968 USA nr possa residente a 82 carcere procedere alla cattura ed alla immediata degli stessi istituto di custodia per ivi rimanere a disposizione esecuzione della misura sia data immediata comunicazione giudiziaria affinch? c Medford Roma in via Cambiano di P G di un a a di questa questa autorit? provvedersi tempestivamente agli adempimenti previsti dall art 294 pp Manda alla Cancelleria per la trasmissione della presente ordinanza in Ufficio del P M per l esecuzione Roma 5 gennaio 201 Il Giudice dott Maria Paola Tomaselli duplice copia all