ordinanza di custodia cautelare occhionero

Proc N 21245 16 RGNR
9
TRIBUNALE DI ROMA
SEZIONE DEI GIUDICI PER LE INDAGINI PRELIMINARI
Ufficio 37
ORDI?ANZA I
APPLICAZIONE DELLA MISURA CAUTELARE
I
_
DELLA CUSTODIA IN CARCERE
art 272
e ss
c
pp
Il Giudice dott Maria Paola Tomaselli
Visti
gli atti del procedimento penale N
OCCHIONERO Giulio
domiciliato
a
nato
21245 16 nei confronti di
Roma il 21 01 1971
a
Roma in via Ernesto Calindri
OCCHIONERO Francesca Maria nata
ma
di fatto domiciliata
a
a
nr
residente
a
GB
Londra
di fatto
ma
3
Medford USA il 31 10 1968 residente
Roma in via Cambiano
nr
a
Londra GB
82
INDAGATI
A
per i reati di cui
1
quater commi
comma
altri
un
4
n
1
agli
c
artt 81 cpv 110 56 494 615 ter commi 1
4
p
vantaggio
n
1 617
perch?
in
pi?
con
quinquies
concorso
fra loro
atti esecutivi di
accedevano abusivamente alla casella di
sicurezza
studiolegale@ernestostajano it
Stajano quindi
da tale
persona ponevano in
errore
in
casella
essere
contenente
un
inviavano
allegato
e
con
rif all
medesimo
a
allo Studio
disegno
legale
sostituendo illecitamente
la
3
617
quater
s? stessi ed
posta elettronica protetta da
uso
e
art 617
al fine di procurare
un
3
n
criminoso
misure di
dell Avv Ernesto
propria
all altrui
atti idonei diretti in modo univoco ad indurre in
il Dott Francesco DI MAIO
particolare
in
3e 2
1
co
2
responsabile della Sicurezza della societ?
all ENAV
S pA
un
messaggio
malevolo virus informatico
di
ENAV S p A
posta
EyePyramid
che
elettronica
una
volta
2
avrebbe permesso di
installato nel sistema informatici dell ENAV S p A
auto
accedere abusivamente al relativo sistema informatico contenente informazioni
dati relativi alla sicurezza
pubblica
nel settore dell aviazione civile nonch? di
intercettarne le comunicazioni informatiche
In Roma
acc
to il 28
e o
telematiche al
3e 2
rif all art 617
con
del 2003
perch?
crimonoso
natura
altri
riservata
elettronica
e
o
e
di
quater
concorso
comma
fra loro
acquisire
pertinenti
recare
617
quater
a
professionisti
del
militari di strategica
interno it
istat it
partitodemocratico it p?l it
1
c
a
telematica
pi?
e
4
3
n
615
1 617
atti esecutivi di
quater
un
importanza o
gdfit
it
it
accesso
notizie che
comma
quinquies
e
2 d
Igs
medesimo
sia
accesso
di sistemi informatici
camera
n
1
196
disegno
se o
caselle di
per
posta
che istituzionali
personali
economico nonch?
bancaditalia it
a
co
a numerose
protetti
autorit?
utilizzati dallo
it senato it esteri it tesoro it
regione campania it regione
lombardia it
?ENAV S p A quindi
mediante l installazione
telematici del malware
e
username e
password
nell interesse
Eyepiramid
flussi di comunicazione
interno
della sicurezza
dati
sensibili relativi ad intestatari ed utilizz atori dei sistemi informatici
e
ogni
telematici violati
In Roma
dal 2012 condotte in
corso
di esecuzione
caso
? vietata la
o
rimanere riservate
personali
di cui in
politico
e
matteorenzi it
pubblica devono
e
2
anche di
nonch? al fine di trarne per
pubblica
giuridico
settore
cist it
acquisivano
1
3
danno accedevano abusivamente
un
comune roma
intercettare chiavi di
n
p ed art 167 commi 1
abusiva da remoto nei relativi sistemi informatici
idoneo
interno
indebitamente informazioni atti documenti
alla sicurezza
ad altri
n
e con
da altri enti pubblici istruzione it
finanze it
4
2
quater commi
protette dalle relative password di
appartenenti
politiche e
in
scopo di
a
profitto
Stato
1 dell art 617
n
suo
aprile 2016
B per il reato di cui agli artt 81 110 615 ter commi 1
in relazione al
e
divulgazione
ovvero
e
della
3
cautelaMre
misura delP
della Ufficio
di
la
Letta
r
applicaziinodagati
ne
richiestaconfronti
nei
avanzata
degli
dall
GRAVI INDIZI DI COLPEVOLEZZA
Ritiene il
dettagliata
con
il
si ?
quale
proceduto
alla ricostruzione della
alla
riguardo
segnalazione
sicurezza della societ? ENAV
Solutions
operatori
s r
1
l
per
poi
s
p
ambito della
presente ordinanza ricalchi la
dovendo condividersi sia il metodo
sia l analisi tecnica delle
presente vicenda
di P G dotati di
una
statunitensi
ha trovato
effettuata Le
operazioni di
sviluppo
dell
infine
riscontro
pieno
un
intercettazione telematica
genesi dell indagine
responsabile
della
tecnica
nell
e
in
investigativa posta
probatorio
Il contesto
piena
essere
da
emerso a
collaborazione delle autorit?
esito dell
attivit? di
monitoraggio
telefonica svolte hanno infatti
da
un
Occhionero Massimo ed alla sorella delle condotte
assistere all attivit? dai medesimi
dall altro hanno consentito anche di
volta ad occultare le loro
attivit?
che hanno beneficiato della
canto confermato la riconducibilit? all
e
della
corredata dall analisi tecnica effettuata dalla societ? Mentalt
a
particolare competenza
accertamenti svolti
contestate
esposizione la fase
dal dott Francesco Di Maio
trasmessa
evidenziare lo
seguito degli
essere
la
come
avanzata dall ufficio del P M
quindi preferito distinguere nell
avuto
chiarire
investigative
risultanze
S? ?
puntuale richiesta
e
preliminarmente
di dover
giudicante
responsabilit?
mediante la distruzione dei file
posta in
oggetto dell illecito
accesso
Ed invero
come
si vedr? in seguito
consentito di verificare sia la
esfiltrazione
mentre l
sia
disponibilit?
la attivit? di
intercettazione dei
captazione telematica dei computers in uso agli indagati ha
la
da
parte degli stessi di alcuni dei files oggetto di
inquinamento probatorio
colloqui
dai medesimi di
intercorsi tra di loro ha evidenziato
seguito
come
realizzata
essi fossero
gli
autori dell illecita condotta
Genesi dell
indagine
In data 1 03 2016 il Dott Francesco DI MAIO
SpA
infrastruttura critica nazionale convenzionata
segnalava
l avvenuta ricezione di
ricevuto in data 26 01 2016 ed
In
particolare
dirette
Responsabile
con
la detta mail
il Prof
Societ? che opera
Stajano
un
messaggio email
con
della Sicurezza della societ? ENAV
il CNAIPIC della Polizia Postale
contenente
un
allegato
malevolo da lui
apparentemente inviato dallo studio legale del Prof Ernesto Stajano
era
o con
risultata sospetta
il
suo
studio
specificamente nel settore della
perch?
legale
costui
non
aveva
mai avuto relazioni
Pertanto anzich? visualizzarla
sicurezza infonnatica 111111111111 I 1
e
scaricarne
5
ad inviarlo per l analisi tecnica alla societ? MENTAT
provvedeva opportunamente
l allegato
Solutions S
r
L che opera
specificamente
nel settore della sicurezza informatica
e
della malware
analysis
Dall analisi dei dati tecnici
a
corredo del
messaggio
veniva cos? riscontrato che
effettuata dalla P G
26 01 2016 dall indirizzo email mittente
propriet? della societ? Aruba
header
posta elettronica in argomento
di
questo
era
stato inviato alle
studiolegale@ernestostajano it
utilizzando
ore
un
10 43 51 del
mail
server
di
S p A avente indirizzo IP 62 149 158 90
indirizzo IP
Gli accertamenti effettuati presso la societ? Aruba consentivano di accertare l
utilizzato per inviare la mail tramite il servizio di webmail 37 49 226 236
dell informativa Polizia Postale CNAIPIC del 26 ottobre 2016 in atti
vds
Allegato
1
alla stessa ci si richiamer?
anche nei rimandi successivi
Tale indirizzo IP risultava
vds
Allegato
2
appartenere ad
nodo di uscita della rete di anonimizzazione TOR
un
dell effettivo
stratagemma informatico che di fatto impedisce l identificazione
utilizzatore
Ad
ogni
modo si accertava comunque che l account mittente
parte di una serie di
informatica di cui
proprio in
aveva
meglio
quindi
la piena
era
stato riscontrato
altro malware diffuso in
ENI S p A
un
in
parler?
studi
era
legali
seguito
era
risultati
it faceva
compromessi a seguito di un infezione
Ci? che conta sottolineare
in possesso della relativa
ora
? che
password
di
l attaccante
accesso e ne
disponibilit?
medesima societ? Mentat
2
si
collegati a
virt? dell infezione informatica
Dalle analisi svolte
un
account
studiolegale@ernestostajano
precedenti
aveva
gi?
stata destinataria di
lo spear phishing ?
malintenzionato cerca di
un
come
il file analizzato
campagne di spear
phishing2
che
numerose
malevoli al
particolare tipo di phishing
la vittima al fine di
analogie
personale dipendente
avuto modo di studiare nell ottobre 2014
messaggi
ingannare
presentasse
quando
con
della
la societ?
pari dell Enav3
truffa effettuata
su
Internet attraverso la
carpire informazioni personali
quale
dati finanziari
o
codici di accesso realizzato ad hoc per colpire particolari individui o societ?
3
per un riscontro di ci? si veda quanto dichiarato in data 7 03 2016 da Federico RAMONDINO
titolare della societ? MENTAT Solutions S
informazioni
pi? dettagliate
r
l
escusso
a
sommarie informazioni al fine di
acquisire
circa l esito dell analisi del file malevolo da lui effettuata per conto di ENAV
SpA
Lo stesso ha consegnato
3
copia del report
redatto nell occasione su incarico dell ENAV
vds
allegato
6
Pi?
ad
il malware rinvenuto nella mail indirizzata ad ENAV sarebbe
dettagliatamente
recente versione di
una
all epoca utilizzato in
quale
virus denominato
massiccia
una
compromessi
stati
erano
un
e
corrispondente
EyePyramid gi? noto a partire dal 2008 in quanto
duratura campagna di attacchi informatici mirati tramite la
numerosi sistemi informatici
appartenenti
a
societ?
private
e
studi
professionali
L
EyePiramid
una
volta installato
del sistema infettato
solo
senza
pieno controllo
all attaccante il
o
da remoto
di altre informazioni
che la vittima possa accorgersene
dei dati avviene mediante
Ci?
perch? l esfiltrazione
con
due distinte modalit? di trasmissione
per i file di dimensioni molto
gli
garantisce
permette l integrale sottrazione di documenti
ma
quelle riservate
incluse
non
duplicazione e
il successivo invio di file cifrati
grandi vengono utilizzati account di cloud storage
altri file vengono trasmessi in
allegato
a
messaggi
email inviati utilizzando account di
posta elettronica aventi dominio dominio @gmx com4
I tecnici MENTAT
grazie
ad
un
software da loro
decodificare i file trasmessi tramite email mentre non
appositamente
sono
stati in
realizzato
sono
riusciti
a
grado di decriptare gli altri
Accertamenti tecnici
I tecnici della Mentat
server
C
dall allegato malevolo
sono
punto di riferimento per il citato malware ossia il
s
C
partendo
utilizzato per la
gestione
memorizzati i file relativi alla
EyePiramid6
oltre
a
d
server
grado
di individuare
un
di Command and Control
di tutti i sistemi informatici infettati
configurazione
migliaia
c
stati in
e
sul
quale
erano
delle macchine compromesse dal medesimo virus
di documenti informatici abusivamente esfiltrati secondo la
descritta modalit?
Il dominio gmx
4
Chesterbrook
5
pi?
un
in
6
esse
Sul
?
gestito
dalla societ? statunitense 1
1 Mail
Media Inc
con
sede
Pennsylvania
Command and Control C
generale
dati da
com
di
una
botnet
C ?
utilizzato per controllare l azione di un malware e
configurazione alle macchine compromesse o raccogliendo i
un
inviando file di
server
carpiti
server
erano
macchine compromesse
presenti
1133 file di
configurazione evidente
indice di
un
egual
numero
di
7
La
provenienza
comune
citati ? stata in
di tutti i malware che hanno infettato i sistemi che di
particolare possibile grazie
all analisi tecnica del codice
con
seguito
verranno
cui ? stato scritto il
malware venuto alla nostra attenzione
Infatti in
particolare
dall
per la sottrazione dei file
informazioni
compresa
sono emerse
tramite
protocolli
di
posta elettronica
significative analogie presenti in tutte
questione
per la cattura di altre
e
le versioni del malware analizzato
quella in esame
Cos? fin dal
dicembre
della libreria MailBee NET dlF utilizzata dal virus in
esame
maggio 7010
2015
tutte le versioni del
al
programma malevolo succedutesi nel tempo fino
hanno sempre utilizzato la
licenza del
stessa
componente MailBee NET
caratterizzata dallo stesso codice univoco identificativo MN600 D8102F401003102110C5114F1F18
0E8CP
La licenza MailBee utilizzata dal malware ? variata solamente nel dicembre 2015
della richiesta effettuata dalla MENTAT di fornire le
AFTERLOGIC
richiesta ha ritenuto di dover notiziare
Altro fatto estremamente
email
a
carpiti
pag 60dell
emerso
dalle
indagini
? che in
tip848@gmail com
contenuto delle caselle email
utilizzate per le descritte
di
account del dominio
whois
privacy
seguito
la societ?
destinataria della
e
una
versione del virus
seguenti
dude626@gmailcom
e
allegato3
poi
verso un
acquirente
dalle macchine compromesse venivano inviati ai
Dall analisi della MENTAT emergeva
@gmx
suo
componenti MailBee NET Objects
purge626@gmail com
octo424@gmail com cfr
del
a
riguardo il proprio cliente
significativo
diffusa alla fine del 2010 i dati
indirizzi
delle
Corporation produttrice
generalit?
quando
com
che la versione attuale del malware reinoltrava il
operazioni
di data exfiltration
hostpenta com gpool@hostpenta com registrato sfruttando
offerto dalla societ? statunitense PERFECT PRIVACY
LLC
il servizio
con
sede
a
Jacksonville Florida che oscura i dati identificativi del reale titolare del dominio
7
Objects prodotto
8
3 alla
9
Papa e
componenti commerciali chiamato MailBee NE
statunitense AfterLogic Corporation con sede a Newark Delaware
La libreria MailBee NET dll
dalla societ?
?
parte
di
un set
di
Maggiori informazioni sono contenute nell allegata relazione tecnica cfr pagg 52 e segg dell allegato
quale si rimanda per una pi? dettagliata descrizione dell analisi effettuata
Questo sarebbe COllegato a Operazioni di controlio da parte di Bisignani nei confronti dell onorevole
delle Fiamme Gialle nell ambito dell inchiesta relativa alla P4
Si accertava inoltre che l attivit? illecita di
cessata
testimonia il dato che durante tutto il
come
operanti e dai loro ausiliari
In
il malware
compito rispettivamente
geolocalizzare la vittima in base
Significativa
era
veniva riscontrato che nel
particolare
aventi il
dossieraggio era stata attivata anni orsono e non era mai
?
di
periodo
compiuto dagli
di osservazione
oggetto di continua evoluzione1
di
mese
luglio
vi
sono
alert in base ad
creare
state
una
aggiunte
lista di
due
nuove
parole
chiave
e
di
all indirizzo IP
soprattutto la prima delle due classi in base alla quale nel momento in cui
keyword impostate
classi
veniva rinvenuta all interno di
messaggio
un
email ricevuto da
una
delle
vittima
una
questo veniva automaticamente copiato ed inviato verso il server di C C
Inoltre
con una nuova
forma di controllo da remoto dei sistemi informatici in
PolyCommand
denominata
possibile
era
uso
alle vittime
inviare comandi alle vittime sotto forma di
messaggi
email
Con ci?
perseguendo l ulteriore
condotte illecite in
fine di mascherare ulteriormente la reale identit?
oggetto grazie a tale
nuova
funzionalit? difatti alcune delle attivit? di
della botnet venivano effettuate utilizzando le stesse caselle delle vittime
richieste
come
d altronde avvenuto nel
gestione
origine
come
delle
della mail inviata all ENAV dallo Studio
specifico
caso
degli autori delle
legale Stajano
Identificazione degli autori dei
Come
gi?
evidenziato dalle
2010 i dati
allegato 3
fonti
emerso
una
ricerca effettuata
Ci? ?
che in
risultavano
essere
gi?
su
una
cfr
emerso
fonti
reato
versione del virus diffusa alla fine
com e
seguenti
indirizzi
octo424@gmail com cfr
1
ema
pag 60
da
aperte in rete OSINT12 ed in particolare
emersi nel
P4 istruito presso la Procura della
Francesco Curcio
gli ulteriori fatti
tip848@gmail com dude626@gmail
che da
giornalistiche
penale c d
indagini ?
e
dalle macchine compromesse venivano inviati ai
carpiti
purge626@gmail com
dell
reati in epigrafe
luglio
2011 nel
Repubblica di Napoli
PM
corso
del
procedimento
Henry John Woodcock e
allegato 3
dalle analisi tecniche di eventuali
nuove
versioni del malware
e
della relativa
allegato 4
dell onorevole
Questo sarebbe collegato a operazioni di controllo da parte di Bisignani nei confronti
infrastruttura di controllo
Papa
e
vds
delle Fiamme Gialle nell ambito dell inchiesta relativa alla P4
mediante la
OSINT acronimo di Open Source INTelligence ? l attivit? di raccolta di informazioni
consultazione di fonti di pubblico
accesso
9
Nello
specifico
tali indirizzi sarebbero stati riconducibili ad
illecito effettuata
dossieraggio
modalit? del
con
attivit? di esfiltrazione di dati
un
analoghe
tutto
a
quelle utilizzate
e
dal malware
oggetto del presente procedimento
Da
quanto
vicende
suo
utilizzare
reale utilizzatore Tuttavia
anni l
negli
Riferimenti in tal
con
la
logica
persona
o
pur essendo stato riscontrato in pregresse
erano
precedenza
mai stato
non era
possibile
concordanti che
gi? evidenti indizi gravi precisi e
EyePiramid e i suoi aggiornamenti fosse stata sempre la stessa persona
senso erano
conseguenza di
ricavabili dalla circostanza che il codice fosse stato sempre lo stesso
poter ritenere che il malware fosse gestito nel tempo dalla
stessa
organizzazione
parole
In altre
come
l utilizzo del medesimo malwere in
giudiziarie
risalire al
a
narrato sinora si evince chiaramente
si deve ritenere che l
codice malevolo
corrispondeva
della licenza MailBee utilizzata all interno del
acquirente
questi
alla persona che in
anni
gestiva
il malware
e
ne
aggiornava nel tempo le diverse versioni
Ebbene ? dal
gi?
citato dominio
hostpenta
com
che si ?
potuto identificare l autore
o
meglio gli
autori dei reati contestati
Il dominio infatti risultava
enasrl
Tutti
essere
com
eyepyramid com
questi
domini risultano
privacy
altri domini tra i
marashen com occhionero
stati
essere
registrati
NETWORK SOLUTIONS LLC
Registrar
whois
collegato con
e
seguenti
westlands com
utilizzando la medesima societ? statunitense
ed attualmente sfruttano il
risultati tutti
essere
collegate ove collabora
a
vario
Ulteriori accertamenti effettuati per il tramite dell F B I statunitense presso la societ?
Afterlogic
a
lui
descritto servizio di
la sorella
o a
societ?
ma sono
gi?
con
a
Giulio OCCHIONERO
si evidenziano i
occhionero net
com
offerto dalla societ? PERFECT PRIVACY LLC
titolo riconducibili
quali
Francesca Maria OCCHIONERO
Corporation produttrice
della licenza MailBee NET
Objects permettevano
licenza relativa al componente utilizzato dal malware
risultava
essere
stata
acquistata proprio
In entrambi i casi infatti il malware
da
dal
Giulio
dopo aver carpito i dati
maggio
di appurare che la
2010 al dicembre 2015
OCCHIONERO
li avrebbe cifrati e
cfr
poi
allegato
inviati
a
5
mezzo
email
Si badi bene il dominio enasrl
malware
EyePiramid
Occhionero
come
? anche il
com
nome
al
pari
di
hostpenta com
del virus La Westland ?
? presente all intemo del codice del
una
societ? in cui operano i fratelli
emerge dal profilo Linkedin di Francesca Maria Occhionero
o
10
dell
informativa
evidenziati il
del 28 04 2016
coinvolgimento
conversazioni
oggetto di intercettazione
15
logge
e
societ? risulta
cos?
di Roma della
e
come
dall indubbio
poi
essere
degli
quale
in
passato
ha
epigrafe
scaturiscono dal
del medesimo
legame
ricoperto il ruolo di
elementi sinora
del tutto coerente
con
gli
contenuto delle
con
gli
ambienti
Nicola Ricciotti Pensiero
quanto membro della loggia Paolo Ungari
della massoneria italiana in
Azione
persone
su
di Giulio OCCHIONERO
personali
alla luce
innegabile sembra essere
di quest ultimo nelle attivit? delittuose descritte in
L attivit? illecita di raccolta dati
interessi
Per cui
maestro
e
venerabile parte delle
di Grande Oriente d Italia
L attivit? di intercettazione
Ad
ogni
modo
riscontri
pieni
intercettazione telefonica
e
alla sorella Francesca Maria
Nel
corso
a
quanto finora descritto
telematica effettuate sulle utenze in
come
di
OCCHYONERO ed ubicata presso la sua abitazione ?
prelevati dai P
C
e
la
gestione
alla
dei Server
identificando
di comunicazioni effettuate Per
particolare poi
basate
su server
dominio
delegata
Microsoft per la
Directory
accesso
gestione
attraverso
ai servizi di
directory
0687070848 intestata
come
a
Giulio
questi abbia la
Corrispondente
alla
loggia
nr
vds
server
rete
oltre
descrizione dell analisi effettuata si
allegato 6
topologia
LDAP17
parte dell architettura di
le funzionalit? di alcuni dei
quali
di rete
propria
delle infrastrutture
il DNS per la risoluzione dei nomi di
Domain Controller
SMB218 i servizi di posta elettronica19 oltre ad un
15
e
ricostruire
completa
di servizi
un
a
IP
una
? stata individuata la classica
l Active
KerberosI6 ed
numero
vengono memorizzati i file abusivamente
ove
gli indirizzi
rimanda all annotazione redatta dalla PG
In
di
oggetto di infezione
dagli indagati
tipologia
attivit?
Giulio OCCHIONERO ed
stato infatti riscontrato
Dall analisi del traffico dati intercettato si ? riusciti
utilizzata
uso a
dalle
emersi
seguito riportato nel dettaglio
dell intercettazione telematica sull utenza fissa
piena disponibilit?
sono
con
autenticazione di
la condivisione di file
con
protocollo
tipo
SMB
e
server WEB
773 del Grande Oriente d Italia la
piu grande
comunione
mass
italiana
Kerberos ? un protocollo di rete per l autenticazione tramite crittografia che permette
comunicare su una rete informatica insicura provando la propria identit? e cifrando i dati
16
1 A
a
diversi terminali d
I
11
appurato che tali
Si ? inoltre
Minnesota presso la societ?
199 15 251 76 ed
e
a
server
sono
Dedispec LLC
Salt Lake
server
e
singoli server
Si evidenzia
tra i domini che risultano
alcuni di
pagg 76
cfr
malware
www
emersi per
quelli gi?
e
westlands
www
marashen
aventi indirizzi IP 199 15 251 75
essere
Per una
server
essere
server
hostpenta
info
wallserv
www
ayexisfitness com
www
gli
stessi
di
server
hostpenta
utilizzato dal
www
com
enasrl
com
millertaylor com
appartenenti quindi
216 176 180 181
e
posta mail wallserv com
enumerare
avente indirizzo IP 216 176 180 178 risultato
e
e
mail2 wallserv com
alla rete utilizzata da
alcuni nomi di file
essere una
in
uso
che
agli indagati
corrispondono
target dell infezione
sottocartelle
occhionero
info
di
replica
e server
e
cartelle
quello avente
DNS
che
sono
riconducibili alle attivit? di creazione del codice malevolom
216 176 180 180 basato
website
allegato 6
associati all indirizzo IP 199 15 251 76
indirizzo IP 199 15 251 74 ed avente funzioni di Domain Controller
sistemi
dettagliata descrizione
gli indagati
presenti sul
Nel
Prior Lake
aventi indirizzi IP
server
associati al dominio
Dall analisi dei dati intercettati si ? inoltre riusciti ad
risultati
a
com
Tali domini inoltre utilizzano tutti
entrambi
Raw Data
216 176 180 181
essere
occhionero
www
www eurecoove com
www
precisamente
allegato 3
segg dell
com
e
si rimanda alla richiamata annotazione di cui all
delle funzionalit? dei
compaiano
USA
aventi indirizzi IP 199 15 251 74 199 15 251 75
Utah presso la societ?
City
216 176 180 178 216 176 180 180 216 176 180 188
come
negli
ubicati
su
? stata inoltre riscontrata la presenza delle cartelle
ed
alle principali cartelle utilizzate per memorizzare i file esfiltrati dai
informatica
in
Microsoft SQL Server
relative
hanger
a
siti
wallserv com westlands
il
particolare
funge
da database
gestiti dagli indagati
com e
avente
server
e
indirizzo
IP
contiene nella cartella
marashen
millertaylor com
com
hostpenta com
acronimo di Lightweight Directory Access Protocol ? un protocollo per l accesso a servizi di
Un server LDAP consente di effettuare operazioni di inserzione cancellazione ed aggiornamento dei dati
database generico ma ? ottimizzato per effettuare operazioni di ricerca ed accesso alle informazioni
LDAP
directory
come un
SMB
acronimo
di
Server
Block
?
Message
condividere file stampanti porte seriali e comunicazioni di varia natura
che la versione 2 del protocollo SMB
19
La posta elettronica era gestita per
mezzo
dei
protocolli
un
tra
protocollo
SMTP ed IMAP
con
principalme
usato
diversi nodi di
una
rete
gi? citata relazione tecnica redatta dalla
1 1
n
n
utilizzo di cifratura trami
TLS
descritte nella
SMB2
societ? MENTAT
per
altro
12
al
Ancora
suo
interno pure la cartella data contenente
telematica effettuata nei confronti
specifico
precisione
la
indirizzi di
riportati nomi cognomi
Nello
da sistemi
si tratta di
1793 corredate da
tipologia di target politica
una
tabella nella
web password
posta elettronica domini
elenco di 18327
un
sebbene in
username
univoche
ecc
oppure le iniziali dei
primi
quale
ecc
alcune delle
Nick
password catalogate in 122 categorie denominate
affari
parte
target
di
analisi dei file contenuti ha consentito l estrazione
approfondita
sono
grazie all intercettazione
ottenere
degli indagati sicch? ? stato possibile
quanto gli Occhionero avevano esfiltrato
Un
database in formato Access 2013
il cui contenuto ? divenuto conoscibile
InfoPyramid accdb
denominato
un
quali
con
che indicano
due caratteri del loro
nome e
cognome
Tale database contiene
tentativi di infezione
In tal
di
senso
un
elenco di persone attenzionate
pi? o meno
dagli indagati
che siano state oggetto di
riusciti
indirizzo
presente nella tabella riporti l ultimo
si ritiene che il campo LastSender
vers? i target
posta elettronica utilizzato dagli indagati per veicolare il malware
Date
campi
Tra le
Previous starebbero ad indicare le date dei tentativi di infezione
e
categorie
nick
pi? significative all interno del database
EYE raggruppa 144 diversi account utilizzati dall
malware tale nick si ritiene derivi dal
nome
verosimilmente
appartenenti
a
si evidenzia
indagato
del malware
BROS raggruppa 524 differenti account di
univoci
mentre i
per
gestire
le
dropzonea
del
EyePyramid
posta elettronica relativi
membri della massoneria
a
in
338 nominativi
inglese
Bros ?
l abbreviazione di Brothers ossia Fratelli
Tra i nominativi
membri di
presenti
logge
si evidenziano elementi di vertice della massoneria italiana
del G O L del Lazio cui
appartiene
anche Giulio OCCHIONERO
oltre
come
esempio
Stefano Bisi Gran Maestro della Massoneria del Grande Oriente d Italia
Franco Conforti
Luigi Sessa
presidente del Collegio dei Maestri Venerabili del Lazio
Gran Maestro Onorario del G O L
Gianfranco De Santis
ex
La dropzone identifica lo
malware
1
Primo Gran
spazio
Sorvegliante del G O L
di memoria
ove
dati sottratti da un
vengono inviati e raccolti i
a
ad
13
Kristian Cosmi amico ed avvocato di Giulio Occhionero e membro della
Massimo Manzo amico di Giulio Occhionero e membro della sua
loggia
sua
loggia
Giacomo Manzo membro del G O I del Lazio
Franco Conforti candidato
a
Presidente del
collegio delle logge del Lazio
Antonio Fava candidato a Presidente del
collegio delle logge del Lazio
Gregorio Silvaggio Ufficiale della G d F
ed
ex
Presidente del collegio delle logge del Lazio
ora
in
sonno
Si ritiene che l interesse che Giulio OCCHIONERO nutre nei confronti dei suoi fratelli massoni
possa
legato
essere
a
giochi
di
potere all interno del Grande Oriente d Italia
che raggruppa diversi account
possa
essere
e
password
con
dominio
categoria
vds
allegato
assume
7
particolare
rilievo in
quanto
come emerso
la societa Westland Securities riconducibile
Occhionero ha fornito consulenza al governo statunitense in
per la costruzione di infrastrutture nel
avuto da Giulio
e
vds
POBU contenente 674 account 29 dei
lista
essere
e
interno it
taranto it
si ritiene
camera
della
it
password
senato it
da fonti
a
giornalistiche
Giulio
e
operazione
Francesca
commerciale
porto di Taranto Conferma dell impegno in tal
profilo
Linkedin della
allegato 8
corredati dalla relativa
quali
l abbreviazione di PO Political BU Business
comprensivi
un
Francesca Occhionero emerge anche dal
stessa Francesca Maria Occhionero
possa
port
l abbreviazione di TA Taranto BU Business
Tale
senso
se ne
Tra
evidenziano alcuni
esteri it
e
giustizia it
o
gli
password
account
con
si ritiene
presenti
Cognome
Account
riconducibili ad
importanti
Note
Parlamentare PdL XVI
Maurizio
Scelli
Legislatura
maurizioscelli
De
Sergio
Sergio
Gregorio
degregorio sergio@gmail
De
ufficiostampa degregorio@gm Senatore XV e XVI Legislatura
Gregorio
ail
com
nella
domini istituzionali
esponenti politici
Nome
parte
oggetto di captazione
testimoniato dal tenore di alcune conversazioni
TABU
d altra
come
com
Prima IdV e poi PdL
14
Parlamentare PdL XI e XVI
Legislat
ex
Ministro
Istruzione 2001 2004
stefanocaldoro@gmail com
Caldoro
Stefano
ed
Parlamentare AN XII e XII
Legislat
Gramazio
Domenico
segreteria@realtanuova com
XVI
giovanni lucianelli@cassaragio
ex
Senatore PdL XV
e
Legislat
add stampa del Sen De
Gregorio
Lucianelli nieri it
Giovanni
e
Parlamentare PdL XVI
Claudio
Barbaro
Legislatura
barbaro_c@camera it
Ambasciatore d Italia in
ex
roberto
Spinelli
Roberto
spinelli@esteri it
Messico
vincenzomario dascola@senat
Vincenzo
D Ascola
Mario
o
it
Senatore XVII Legislatura
Vincenzo
Prima Pd L poi AP
Mario
D Ascola
nicodascola@libero it
Alessandro
Carino
alessandro carino@senato it
Carla
Maffi
Angelica
Maria
carlaangelica maffi@giustizia i
Ex
t
Procura Generale di Brescia
Dirig
Amministrativo della
mariagabriella marsullo@inter
Gabriella
Marsullo
no
it
segreteria direttore op@intern
Armando
Forgione
o
Direttore Ufficio Ordine
it
armando
Forgione
Armando
a
degli
account
domini di importanti societ?
Enti pubblici
finanze it
istruzione it
interno it
matteorenzi it
Pubblico del
Dipartimento
della P S
int
Si fa inoltre presente che molti
appartengano
forgione@tic interno
istat it
presenti
nel database bench?
private o enti
gdfit
istituzionali
bancaditalia it
comune roma
partitodemocratico it pdl it
1 A
it
camera
quali
it
privi di password
ad esempio
senato it esteri it
teson t
regione campania it regione lombardi
cist it unibocconi it
t
15
Societ?
private
aceaspa
it enel it eni it
Per ciascuno dei domini sopra indicati
quali figurano personalit?
sono
enav
presenti
di vertice delle societ?
e
it
finmeccanica com fondiaria
numerosi
sai it
posta elettronica
account di
tra i
delle istituzioni elencate oltre che del mondo
politico
Sono
gli
presenti tra gli
account
della BCE
e
altri l account Apple dell
istituzionali
degli
ex
ex
Presidente del
Consiglio On
Draghi
Governatori della Banca d Italia Mario
Matteo Renzi
ora
Presidente
Fabrizio Saccomanni
LastSender
Date
Previous
30 06 2016
12 06 2016
07 08
11 18
antoniaf@poste it
09 07 2016
23 06 2016
mmarcucci@virgil
t
19 41
06 06
io it
fabrizio saccomanni@banca
30 06 2016
20 06 2016
ditalia it
10 00
06 31
24 11 2012
16 10 2012
02 58
19 46
09 06 2016
22 05 2016
g simeoni@inwin
14 55
06 01
d it
05 07 2016
22 06 2016
d
22 57
06 20
om
Email
matteorenzi@me
mario
com
draghi@bancaditalia i
papa_a@camera it
walter ferrara@esteri it
vincenzo scotti@esteri it
1
julia@blu it
latagliata@live c
p
fassino@partitodemocratic
01 07 2016
17 06 2016
o
it
08 58
06 08
rita
02 07 2016
16 06 2016
b
17 55
06 30
m
02 07 2016
19 06 2016
12 39
06 24
gpierpaolo@tin it
01 07 2016
13 06 2016
e
06 17
06 22
t
08 07 2016
23 06 2016
p
bonaiuti@pdl it
mv
brambilla@pdl it
luca
sbardella@pdl it
e
p@blu it
gaetani@live co
barbara@poste i
i
larussa@pdl it
13 38
06 08
stoccod@libero it
f
cicchitto@pdl it
08 06 2016
20 05 2016
g
capezzone@virg
16
d
capezzone@pdl it
mario monti@senato it
mario monti@unibocconi it
vincenzo fortunato@tesoro it
mario canzio@tesoro it
poletti@gdf it
capolupo saverio@gdf it
Per
elenco
un
pi? dettagliato del
annotazione vds
il
Ancora
utilizzato
utili all
server
come
06 28
09 06 2016
21 05 2016
10 37
06 07
baldarim@blu it
06 06 2016
20 05 2016
t elsajuliette@blu i
15 49
06 39
t
30 06 2016
20 06 2016
23 20
06 05
03 07 2016
22 06 2016
17 26
06 36
03 07 2016
15 06 2016
06 11
06 38
09 06 2012
11 05 2012
07 14
16 53
13 11 2012
12 10 2012
08 00
05 25
contenuto del database
giannaa@poste
it
izabelle d@blu it
si rimanda all
allegata
allegato 9
indirizzo IP 216 176 180 181
avente
replica
del
server
avente
hostname
riga westlands
com
avente indirizzo IP 216 176 180 188 ha svelato ulteriori elementi
indagine
possibile
ricostruire la struttura delle
oltre al contenuto dei file transitati
e
scaricato sul
Hanger
directory sfogliate
corrispondenti
uso a
Giulio OCCHIONERO ? stato
dall utente
ai file che l
e
presenti
indagato
ha
su
questo
prelevato
dal
server
server
proprio PC
Si descrivono di seguito le
1
dipriamoj@alice it
InfoPyramid accdb
Dall analisi del traffico SMB intercettato sull utenza fissa in
riga
ilio it
05 22
principali cartelle individuate
contiene i file esfiltrati dalle vittime suddivisi in sottocartelle ciascuna
raccoglie una differente tipologia di dati
come
di seguito indicato
chrmp
chrome passwords
configuration
configurazione della macchina infetta efolder sul PC
elle
quali
17
emp
email
fav
preferiti del browser
graph
collegamenti email
internet
iep
passwords salvate su internet explorer
mozh
mozilla history
msnp
messenger
nfo
informazioni catturate tramite il tool msinfo32 exe
nk2
cache dei nomi alternativi di outlook
nwp
network passwords
pr?k
product id e cd keys di software Microsoft
recf
file
link
cronologia di Firefox
passwords
file e directory locali o remote
a
skype
database delle conversazioni skype
src
ricerche effettuate sui motori di ricerca
usb
history dei dispositivi usb connessi
wk
wireless networks
MDaemon contiene i file di
configurazione
la
dal malware
gestione
dei dati
carpiti
HIWATER MRK al cui interno
di posta
caratteri che
come
descritto
HIWATER MRKallavoce
stato
poi
un
diretto dell
posta elettronica utilizzato p
state trovate informazioni relative ai nomi delle cartelle
a
compaiano
quelle presenti
Le
stesse
anche
stringhe composte
nel campo Nick del database
stringhe compaiono
o
5
InfoPyramid
anche
nel
file
a
viene memorizzato in
oggetto dei messaggi email ricevuti contiene l identificativo
ciascuna delle vittime
una
e
che in base all identit? della vittima
data locazione
demone daemon in inglese ? un ploeramma eseguito in background cio?
tipicamente fornendo un servizio all utente
utente
inoltre
di 4
hostpenta com contacts
riscontrato che l
univoco che il malware d?
questo
del demone22 di
denominato MailDemon Si ? analizzato il file
tra i nomi delle cartelle
corrispondono
precedentemente
?
sono
passwords
presenti sul server agli utenti ed all oggetto dei messaggi email ricevuti
Si evidenzia
22
explorer history cronologia di I E
ieh
shortcuts
2
tra le vittime
software installato
lista del
ia
password
senza
che sia sotto il controllo
18
MailRouting
Rule0 If
then
SUBJECT contains AS5745G Utente 00359 OEM 8992687 00006 29649A13
to Global
move
Rule1 If
SUBJECT contains MARIO PC
mario 00359 OEM 8992687 00015 DA7E17F2
then move to Global
Rule2 If
SUBJECT
contains
PAOLASTUDIO HP_Administrator 76434 OEM 0011903
00106 01CC31C4 then move to Global
Rule3 If
SUBJECT contains PC ALESSANDRO Alessandro 89578 OEM 7332157 00211
44531959 then
Rule4 If
move
move
to Global
SUBJECT contains PC DELIA Delia 89578 OEM 7332157 00204 BE4E7074 then
to Global
Rule5 If
SUBJECT
contains
SALAPROF Utente 55274 641 1996064 23453 4FC2F11A
then move to Global
Rule6 If
SUBJECT
MARIO PC MARIO 00359 OEM 8992687 00006 3E538BA7
contains
then move to Global
Rule7 If
contains PC Nuova Mar
SUBJECT
jonio 00371
OEM 8992671 00524 FOCF4FED
then move to Global
3
Reports contiene
un
sottocartella
numerosissimi file di testo
keylogging che il malware
con
denominata
estensione txt che
2016
al cui
interno
file
a
seguito
xml
installa sui PC delle vittime
dell infezione dei PC delle vittime che
contengono informazioni
riscontrato che
nel
server
C Cn
e
una
file xml
uno
sigla inserita nel nome del
catalogati
sono
in differenti cartelle
a
per ciascuna
seconda del
un
generale
carpiti
sono
tipi
macchine infette
S
tipologia di dati sottr
file Tali file vengono
contengono ad es le password per la posta elettronica
di
tipologie di file generati
sostanzialmente di tre
sottratte direttamente dalle
ogni vittima genera pi?
che viene indicata da
presenti
contengono i dati carpiti dal modulo di
L analisi del traffico SMB ha inoltre permesso di individuare le differenti
dal malware
sono
tipo
poi memorizz
10
ti
ti
di informazioni ch
inserite in file xml il cui
nome
Command and Control C C ? un server utilizzato per controllare l azione di un malware e pi? in
botnet inviando file di configurazione alle macchine compromesse o raccogliendo i dati da esse
una
?
19
contiene la
stringa
EMP che vengono
C
C
Un
esempio di come ?
INIVDCIANI
strutturato il
tutti memorizzati nella cartella EMP del
poi
nome
di tali file ? il
server
seguente
ciani 00371 OEM 8992671 00007 2F0D873F emp xml
a
dove INIVDCIANI
corrisponde al nome del PC
a
ciani al
nome
utente 00371 OEM 8992671
00007 2FOD873F ? l identificativo univoco dell utente ed emp indica la
tipologia
di
informazioni contenute nel file
Si
riportano
di
seguito degli esempi relativi
ad alcune delle
tipologie
dei file XML
con un
estratto del loro contenuto
FILE CHRM
chrome_passwords_list
action_url https puntofisco agenziaentrate it PuntoFiscoHome j_security_check
ction_url
user_name MNTDNC51M20F839X
password
Castella8
action_url
https
user_name
password
webmail pec it
comune
user_name
login html action_url
concerviano@pec it
user name
password xtIWwTQM password
action_url
https
sister agenziaentrate gov it Servizi
user_name LRSGNN82B41F158W
password
FILE EMP
FIRESPA2016
j_security_check action_url
user_name
password
accounts
email daniele
display_name
pacioni@studiolegaleghia
Avv Daniele Pacioni
it
email
display_name
account_name Daniele Pacioni account_name
pop3_server pop3 studiolegaleghia it pop3_server
pop3_user
daniele
pacioni@studiolegaleghia it pop3_user
pop3_password danielepacioni pop3_password
a
20
email
danielepacioni@ordineavvocatiroma org
display_name
account_name
pop3_server
pop3_user
Avv Daniele Pacioni
mbox cert
M3015452
legalmail it pop3_server
pop3_user
270520131ucio
entry_name
https
owa
phc firespa it entry_name type AutoComplete type
password
FILE NWP
st
stored_in
Regi
user_name silvia galletta
SG2016
user_name
password
network_passwords_list
item_name Domain target AVVOCATO item_name
type Domain Password
user
pop3_password
internet_explorer_passwords_list
FILE IEP
item
display_name
danielepacioni@ordineavvocatiroma org account_name
pop3_password
ored_in
email
type
GIACOMO PC avvocato
password gia76como
user
password
file gph contengono
elenchi di indirizzi di
utilizzati per delineare
quali
sono
le persone
posta elettronica
pi?
vicine
e
sono
verosimilmente
alla vittima ossia
quelle con
cui
questi comunica maggiormente attraverso messaggi di posta elettronica
file
txt
sono
i file
generati dall attivit? di keylogging
memorizzati nella cartella del C
nominati tali file ?
ora
come
report 2016
gi?
evidenziato
Il modo
con
sono
cui vengono
analoga a quella illustrata per i file xml
20160924 092052 0 PCROMA13 1
ove
C denominata
e
l unica differenza
con
in cui le informazioni
c
ciani 00371 OEM 9044722 11968 F21C4016 txt
la struttura dei nomi dei file xml sta nell indicazione di data ed
sono
state catturate
21
Come
delle
dal
o
i
gi?
evidenziato in
quali
questi file
viene distinta da
quale si evince
come
messaggi email
che
registrate
keylogger
le informazioni catturate dal
ognuna
tag che ne indica il tipo Se ne riporta di seguito un breve estratto
un
venga
sono
registrato sia
ogni azione
ci? che viene
effettuate sul PC ad
digitato sulla tastiera
es
l
apertura
o
come
le
password
la modifica di documenti
ecc
09 23 2016 1 11 12 09
WINDOW
09 23 2016 111 12 09
PROCESS
09 23 2016
TITLE
11 12 09
TORNAGHI SNC
Server winfarm WinFarm exe
WinfarmEvoluzione Rel 01 52 01
VILLA ADRIANA TIVOLI RM
09 23 2016 I 11 35 31
PROCESS
Thunderbird thunderbird
09 23 2016
TMDIForm_2
11 35 32
S N C cod 30131353
C
Programmi
FARMACIE
Codice 00543
Mozilla
exe
WEB
Invio
copia ft 5415070021FARMACIE TORNAGHI
Posta in arrivo
farmaciatornaghi@virgilio it
Mozilla
Thunderbird
09 23 2016
11 36 23
EDIT
Cerca Ctrl K
09 23 2016 l 11 36 23
TEXT
Da
09 23 2016111 36 23
TEXT
Da Giannelli Emiliano CONIT
11 36 23
TEXT
Giannelli Emiliano CONIT
11 36 23
TEXT
Oggetto
11 36 23
TEXT
egianne@ITS JNJ com
09 23 2016
09 23 2016
09 23 2016
Oggetto
Invio
egianne@ITS JNJ com
copia ft 5415070021FARMACIE
TORNAGHI S N C cod 30131353
09 23 2016
11 36 23
TEXT A
09 23 2016
11 36 23
TEXT A
farmaciatornaghi@virgilio it
farmaciatornaghi@virgilio it
farmaciatornaghi@virgilio it
09 23 2016
11 36 23
TEXT
Me
09 23 2016
11 36 23
EDIT
Buongiorno
09 23 2016
11 36 23
EDIT
In
allegato trova la copia della fattura da lei richiesta
22
09 23 2016
Settings
FILECHANGED
12 57 06
FILECHANGED
10 56 52
10 56 52
Si
pdf
Login Google Chrome
URL
ihb cedacri it hb authentication
09 24 2016 I 10 56 58
36
DistintePagamenti
KEYS H3454
09 24 2016 1 10 56 52 WEB
09 24 2016
ini
Desktop
C Documents and
winfarm Documenti Downloads
09 24 2016
https
Documents and
C
winfarm Documenti GIORGIO NON TOCCARE
09 23 2016
Settings
12 15 37
login seam
abi 03440
lang
it
KEYS DH241599
riporta di seguito un elenco dei tag rilevanti generati dall attitit? di keylogging
KEYS
tasti
LOGSAVED
data di
FILECREATED
creazione di file
digitati
salvataggio del log
FILECHANGED modifica di file
cancellazione di file
FIL EDEL ETED
PROCESS
processi eseguiti
URL
URL visitate
LOGSTOPPED
data in cui ? stato fermato il
LOGSTARTED
data in cui ? iniziato il
HGRVERSION
versione del malware
GHKVERSION
versione del malware
ACTIVATION DATE
data di attivazione del
IPADDRESS
indirizzo IP con cui la vittima si ?
TEXT
testo di mail indirizzi di
ORGANIZATION
nome
dell ISP utilizzato dalla vittima per l
accesso
ad int
ISP
nome
dell ISP utilizzato dalla vittima per l
accesso
ad inte
GHKVERSION
versione del modulo GHK del malware
o
digitate
logging responsabile
dell utente
log
log
del
del
keylogger
keylogger
keylogger
connessa
ad internet
posta elettronica
della
et
t
ossia il modulo
registrazione
delle
attivita
23
ossia il modulo
versione del modulo HGR del malware
HGRVERSION
principale
del
comunicazioni
con
C e del
l infrastruttura C
principali
delle
responsabile
malware
prelievo ed invio
dei dati dalla macchina della vittima
Analizzando i dati aventi tag ACTIVATIONDATE all interno dei file txt ricostruiti
traffico telematico intercettato sull utenza fissa in
come
al
mese
marzo
all
agosto 2016
2014
e
che l infezione di
vittime sia continuata
08 19 2016 I 07 35 33
ACTIVATIONDATE
Wednesday August 03
sul
server
ed ?
pertanto ragionevole ritenere che l attivit? delittuosa oggetto del
come
GAMMAL il
da diversi anni
si sia accertato che il contenuto delle cartelle
riga precedentemente
delle omonime cartelle
presenti
descritte nel
poi
poi
al server di C
identificati numerosi
collegamenti
posta del dominio gmx com che
di
MENTAT
cfr
pagg 57
e
segg dell
allegato
3
come
sul
fosse sincronizzatoM
dettaglio
suo
e
avente
reports 2016
con
quello
nome
PC tutti i dati che il malware
host
carpiva
C
effettuati da Giulio OCCHIONERO
verso
il
indicato nella relazione tecnica redatta dalla
corrisponde
email utilizzate dal malware per le operazioni di data
esame
hanger
in locale sul PC di Giulio OCCHIONERO
quale pertanto riceveva regolarmente
dai PC delle vittime inviandoli
Sono stati
2016
riga erano presenti numerose cartelle create negli anni precedenti
procedimento fosse in essere
presenti
quantomeno fino
server
risalenti almeno al 2012
Si evidenzia inoltre
possibile
March 28 2014
Friday
che sul
dal
d
ACTIVATIONDATE
Risulta altres?
L
gi? a partire
18 59 30
09 29 2016
server
nuove
partire
Giulio OCCHIONERO ? stato
alcune delle vittime siano state infettate
determinare
di
uso a
a
al dominio cui
exfiltration
del traffico dati transitante sull utenza fissa in
connessioni
permesso di riscontrare la presenza di diverse
appartengono le caselle
dai PC delle vittime
uso
verso
a
i
Giulio OCCHIONERO
seguenti
servizi di Cloud
La sincronizzazione del contenuto delle cartelle avveniva per mezzo del software Syncroy
poi
24
dav box
com
webdav 4share
com
webdav hidrive strato
wedav1
che
come
storegate com
identificare
malware
e
indagato Giulio
rilevati nel traffico di
dai cui PC
OCCHIONERO ha
tipo
parte delle persone
una
come
C dal malware
C
cfr
allegato 3
Dall analisi dei file che l
proprio PC
di Cloud utilizzati
corrispondono agli spazi
accertato
pagg 30 e segg dell
sul
com
o
SMB
prelevato dal
precedentemente
societ? che
prelevavano abusivamente
dati
gli indagati
e
riga
server
e
descritto ? stato pure
scaricato
possibile
hanno infettato tramite il loro
significando
documenti
che data l
enorme
mole di dati l analisi volta ad identificare la totalit? delle vittime ? tuttora in corso
Si
riporta
di
seguito
elenco delle vittime
un
maggior parte da studi legali e professionali
circa 100 macchine
pi? significative
rimandando per
compromesse finora identificate all
una
allegata
dell infezione
costituite per la
descrizione pi?
dettagliata delle
annotazione redatta dalla P G
STUDI LEGALI
? stata accertata la compromissione di 20 studi legali molti dei quali specializzati in diritto
amministrativo
e
commerciale
AVVOCATO MAURIZIO SCELLI
Avvocato civilista
e
Parlamentare della XVI
Legislatura
eletto nel PdL
STUDIO LEGALE GHIA Avv Ghia Lucio
Studio
legale
Fallimentare
Risultano
Pivanti
con
e
sedi
a
Roma
e
Milano
in Diritto Societario Commerciale
Bancario
essere
compromessi
almeno 5 PC della rete dello studio in
alla collaboratrice Marianna
Millevolte
specializzato
segreteria
e
Spallucci
ed ai
dipendenti
uso
all Avv Andrea
Cristina Ciani
Elisa
Giovanni Tomaso amministrazione
STUDIO LEGALE BERNARDI E ASSOCIATI
Studio
legale
e
commerciale
specializzato
nel diritto commerciale
amministrativo
tributario
Risulta
e
essere
compromesso il PC dell Avv Cristina Comastri
contratti ed in diritto di
famiglia
specializzata in obbligazioni
25
STUDIO LEGALE CANCRINI E PARTNERS
Studio
Legale
con
sede
a
Roma
presta assistenza e consulenza legale nel campo del diritto
amministrativo del diritto civile commerciale
Risulta
e
societario
compromesso il PC dell Avv Adriana Amodeo
essere
riferimenti di
associato di Diritto Amministrativo presso l Universit? di Roma Tor
STUDIO LEGALE PISELLI
legale
Studio
con
sedi
a
Mestre
Cagliari
Roma
e
contenziosi amministrativi civili
Vergata
Londra
e
Bucarest
tributario fiscali
contabili
e
arbitrali
pubblica
Risultano
almeno 2 PC della rete dello studio
compromessi
specializzato
nei
rappresentanza ad imprese private ed Enti pubblici in
riferimento alla contrattualistica
probabilmente in uso all
Federica
professore
PARTNERS
servizi di consulenza assistenza
essere
inoltre stati trovati
utilizzato dal Prof Marco Macchia
secondo PC infetto
un
sono
Avv Federica Rizzo
e
in
con
particolare
uso
agli
utenti
P Paluzzi
STUDIO LEGALE MASSAFRA Avv Nicola MASSAFRA
Studio
che offre assistenza
legale
Amministrativo
e
consulenza
e
legale
in materia di
diritto Civile
Penale
STUDIO LEGALE AVV GIUSEPPE GRECO
Giuseppe
L Avv
Facolt? di
Giurisprudenza
direttore di
e
Greco ? Professore Straordinario di diritto amministrativo
presso la
un
dell Universit?
programma di ricerca
Giudice Tributario di
STUDIO COCCONI
Appello per il
degli
applicata
professionale
specializzato
in
in tema di concessioni demaniali marittime
Lazio
di avvocati
diritto commerciale
e
e
commercialisti
Studio formato da avvocati
rivolte
e
Capellini
sedi
e
a
Roma
fiscale
e
Venezia
Risulta
essere
che si occupa di consulenza
finanziaria
STUDIO LEGALE SILENZI
fiscalit?
con
consulenza societaria
compromesso il PC del dott Mario Emanuele
e
? inoltre
G Marconi
COCCONI
Associazione
bancaria
Studi di Roma
PARTNERS
e
commercialisti
esperti
nel settore del business ad
che offre consulenze nei settori della finanza del credito
principalmente al
settore delle PML
e
sory
delle assicura
o
e
26
STUDI PROFESSIONALI
STUDIO GIANLUCA PELLEGRINO
Studio commercialista di Roma
STUDIO
COMMERCIALISTI ASSOCIATI
GF REMIA
UMBERTO
E
DE
DONATIS
FLORIANA
Studio di commercialisti
LUIGI DQTTORINO
Consulente del lavoro
CFN S R L
Societ? di consulenza commerciale
e
finanziaria
con
sede
a
Roma
ARCH PIETRO BIAVA
ARCH ROSANNA FERRAIRONI
SOCIET? DI RECUPERO CREDITI
FIRE S p A
Risultano essere
compromessi decine di PC della rete interna della societ? FIRE S p A
ESSEBI GROUP S r L
societ? controllata dalla FIRE S p A
ENTI ISTITUZIONALI
SECONDA UNIVERSIT? DI NAPOLI
Risulterebbe
essere
compromesso
un
PC della
segreteria della Facolt? di Lettere
REGIONE LA210
Risulterebbe
essere
compromesso il PC
Contenzioso dell Avvocatura
in uso all Avv Elena Prezioso
Regionale
SINDACATO CGIL FUNZIONE PUBBLICA DI TORINO
Dirigente
dell ufficio
27
VATICANO
CARDINALE GIANFRANCO RAVASI
Risultano
essere
Presidente
del
compromessi
Pontificio
Archeologia Sacra e
i PC in
Consiglio
uso a
due collaboratori del Card Ravasi dal 2007
della Cultura
della Pontificia Commissione di
del Consiglio di Coordinamento fra Accademie Pontificie
CASA BONUS PASTOR
struttura
alberghiera di propriet?
del Vicariato di Roma
SOCIETA DI COSTRUZIONI
PULCINI GROUP
Societ? di costruzioni fondata da Antonio Pulcini
compromessi
almeno due PC in
Risultano
essere
quello del
titolare Antonio Pulcini
uso a
dipendenti
della societ? tra cui
COSTRUZIONI EDILI BERGAMELLI S p A
Societ? di costruzioni
con
sede in
provincia
di
Bergamo
ma
che opera
su
tutto il territorio
nazionale
FINCHAMP GROUP
Gruppo cui fanno parte una societ? di
costruzioni ed una immobiliare
SANIT?
GRUPPO INI S p A
Il gruppo INI Istituto
Neurotraumatologico
conta di diverse strutture sanitarie
ambulatoriale
con
Italiano
presente
in molte
aree
abilitate al ricovero ed all assistenza
del Paese
specialistica
circa 1 000 posti letto e oltre 1 200 dipendenti
MUTUA MBA
Mutua MBA ? la pi?
prestazioni mediche
grande mutua sanitaria
a
costi
agevolati
italiana per
numero
di soci Offre
agli aderenti
28
COOPSALUTE S C p A
?
Societ?
una
domanda
e
nata per costituire
Cooperativa per Azioni
l offerta di
prestazioni
e
un
unico punto di incontro tra la
servizi socio sanitari ed assistenziali
tutto il
su
territorio nazionale
compromessi almeno cinque
Risultano essere
PC in uso
a
dipendenti della cooperativa
ALTRO
REALE MUTUA ASSICURAZIONI
Risultano
compromessi
essere
almeno due PC dell
agenzia
676 di Roma
e
tre dell
agenzia
679
TOTI TRANS SRL
Societ? di
trasporti
fallita
i cui 150
ma
Risultano
nazionali ed internazionali della
dipendenti
sono
di Frosinone recentemente
stati assorbiti dalla SLI di Frosinone
compromessi quasi 20 PC in
essere
provincia
uso a
dipendenti della societ?
L elenco citato ? stato ricavato analizzando il contenuto dei file che Giulio OCCHIONERO ha
scaricato sul
telematica
ossia per poco
vittime per le
server
riga ed il PC
Si evidenzia
sia
all
quali
emerso
anno
poi
2010
e
nel
di
un mese
a
sua
utenza fissa
partire
dall analisi dei dati ottenuti nel
riga
erano
presenti
era
dal 23 08 2016
periodo indicato questi aveva impostato la
server
numerose
corso
oggetto di intercettazione
e
contiene
pertanto le sole
sincronizzazione dei dati tra il
sua
abitazione
dell intercettazione telematica attiva
cartelle create
negli
anni
precedenti
tale circostanza fa ritenere che le vittime sopra elencate siano solamente
del totale costituita da
corso
pi?
in cui la
GAMMA ossia quello che utilizzava presso la
come
che sul
periodo
PC nel
proprio
quelle di interesse
per
gli indagati nel periodo
degli anni questi abbiano infettato molte
Ulteriori elementi di rilievo
a
dell intercettazione
una
e
sino
parte
che nel
altre persone e societ?
carico di Giulio
OCCHIONERO
sono
emersi dall intercettazione
telematica attiva effettuata dal 1 al 4 ottobre 2016 sul PC connesso alla linea fissa installata presso
la
Si
sua
abitazione avente
riporta
di
seguito
dall agent istallato
a
un
nome
host GAMMA
estratto
degli
screenshot elementi
maggiormente significativi
tal scopo sul PC GAMMA rimandando per
una
rea zz
pi? dettagliata descrizion
ti
di
29
quanto
alle annotazioni redatte dalla P G
emerso
attivit? del 2 e del 3 10 2016
alle
ore
del
13
mailpulcinigroup it
mail
specifico
Nello
viene
sul
aperta
ossia
Si evidenzia che l account
InfoPyramid accdb
a
pierluigi@avvocatomancuso
descritto in
precedenza
delle vittime dell infezione da
alle
13 36 del 01 10 2016 nel client di
Inbox
al cui interno
Hanger
caselle del dominio gmx com2s
uguale
sara
a
sono
web
Web Sites
westlands
com
abbia la
gestione
verso
del sito
ore
Outlook
stati
25
gi?
dominio gmx com
nel
presente
essere
non
allegato quelli
? infatti visibile il loro
per i file xml
e
che
nome
txt
e
poi
che
con
ogni
che ha struttura
CERTKILL
come
a
letti indirizzati
ancora
illustrato
copiati copiati
cartella
di
17 file da
rete
una
ZIR3 78
verranno
cartella locale
avente
percorso
questo di come Giulio OCCHIONERO
che ? risultato
essere
il dominio utilizzato dal
contenuto delle caselle email @gmx
com
utilizzate per le
data exfiltration
23 12 del 01 10 2016 viene visualizzata tramite il client di
anche la cartella
messaggio
Come
vengono consultati
che la societ? PULCINI GROUP ?
messaggi
Inbox
Reports
email inviato all indirizzo email
descritto in
precedenza
posta elettronica
ossia l altra destinazione insieme ad Hanger
utilizzata dal malware per memorizzare i dati esfiltrati
il
e
it ? risultato
contenenti in
chiaro indice
hostpenta com
replicato il
posta in arrivo
di
C
una
hostpenta com
malware verso cui viene
?perazioni di
sono
Inbox
sottocartella
parte del malware diffuso dagli indagati
sei nuovi
precedenza
Hanger del C
17 55 del 01 10 2016
denominata
alle
e
marchesan 00371 OEM 9309601 23878 1FD4E1A0
ore
sergioscibetta it
presenti numerosi messaggi email indirizzari
ulpi715@gmx com
descritta in
memorizzati nella cartella
alle
sono
i file catturati dal malware
quella
mail
me com
posta elettronica Outlook viene visualizzata la
compresi
all account di posta elettronica
probabilit?
alla
mail
com
Pierluigi Mancuso
essere una
cartella
la
client
quella relativa
risultata
ore
mail enasrl
cartelle
pierluigi@avvocatomancuso it
indirizzati
messaggi in essa presenti
database
seguenti
register it
pierluigi@avvocatomancuso it
i
12
attivit? del 1 10 2016
11
aperto il client di posta elettronica Outlook all interno
le
presenti
sono
allegati
14 attivit? del 4 10 2016
e
11 31 del 01 10 2016 viene
quale
vds
e
nello
specifico
ekehuj2804@gmx com
viene visualizzato
avente ogg
il malware esfiltra i dati dai PC delle vittime inviandoli
su
casell
0
el
30
il 21 09 2016 alle
PA TRIZIA 7 Patrizia 00330 80000 00000 AA227 955E2825 ricevuta
contenente in
am
8 35
dal modulo di
carpiti
l omonimo file txt contenente i dati
allegato
ore
keylogging del malware
alle
ha terminato le
01 00 18 del 02 10 2016 il sistema ideato da Giulio OCCHIONERO
ore
di sincronizzazione effettuata tramite il citato software
operazioni
westland
remota
locale D
quella
Mail
com
Hanger
ove sono
memorizzati i file
abbiano esattamente lo stesso contenuto ossia 345120 file
come
e
le cartelle
dimensione totale di
una
per
tra la cartella
dal malware
carpiti
Dallo screenshot si evince
EyePyramid Hanger
Work
SyncToy
circa 87 Gbyte
alle
ore
Visual Studio del codice del malware Nello
per la cui descrizione si rimanda alle pagg 23
inerenti i certificati all interno della classe
Ci? ?
chiaro indice di
un
il codice del malware
nuove
poco
funzionalit?
dopo
utilizzato
e
l altro
12
identici
con
specifico dal
sta curando l evoluzione
com
testo del
nella
sia in
essere
ore
21 56
alla
quale la informa
3
e
Mailfaker
modifica alcuni valori
Web vb
la costante introduzione di
di
presente sul pc da lui
remoto avente
suo server
appurato che i due certificati
sorella
all indirizzo
Francesca
del risultato delle
Moscow americani
privilegio
uno
sue
verifiche
in cui Giulio dice testualmente alla sorella Ad
messaggio
server
Alle
email
una
infettare
e
quindi
ogni
dubito che abbiano dato ad
macchine americane
cfr
Francesca Maria Occhionero
pag 7 dell
sono
allegato
preoccupati
di
monitorati dalle autorit? italiane26
Il fatto che Giulio condivida immediatamente
non
con
SQL installato sul
server
emerge chiaramente che Giulio
essere
allegato
e
in
Giulio OCCHIONERO la persona che ha scritto
IP 216 176 180 180
invia
autorit? italiana il
poter
segg dell
Hangeron
denominatafHangeron Menu
proprio
recuperato dal
modo ? valido pure sui
un
ne
e
i moduli
apre
compilazione
cfr allegato 5
focchionero@westlands
Nello
che
e
sia
specifico
confronta due certificati rilasciati da Microsoft
hostname Moscow
sono
come
per la
applicativo Eye Manager
21 22 43 del 02 10 2016 utilizza l
alcun
procedimento
e
con
la sorella
che i due
questi suoi timori
parlino esplicitamente
dei
bench?
server
a suo
apparte
rico
ti
Si fa presente che come emerso dall intercettazione telefonica sulle utenze in uso agli indagati in data
09 09 2016 Giulio Occhionero ? venuto a conoscenza dell instaurazione del presente procedimento penale a suo carico
26
31
alla rete di
OCCHIONERO sia
riguardo
A tal
del malware
gestione
?
indice di
chiaro
un
anche Francesca Maria
come
pienamente responsabile delle condotte delittuose per
assumono
dapprima
rilevanza
grande
l email di
cui si
procede
inviata da Francesca
risposta
a
Giulio qualche minuto dopo
Bravo Possiamo
messaggio WhatsApp
il
poi
e
tranquillizzarci
testualmente
a
e
Notte
po
della mattina
coinvolgere
non
che ci sta aiutando
pi?
mamma
nei nostri
del dovuto Primo
bisogno di riposare e stanotte non ha chiuso occhio
e
terzo
Frasi
perch? come vedi a volte sono
queste
pronunciate
Francesca dice
quale
inequivocabilmente
ore
non
mi sembra che sia
problemi
dobbiamo aggiungere altri
secondo
non
pu?
le scelte da
? stanca
e
ha
queste materie
fondando un chiaro
concorso
capire chiaramente
come
i
ed eventuali accortezze da tenere
intraprendere
di persone nelle condotte descritte
posta elettronica Outlook la cartella Inbox Hanger
a
su
abbastanza
dei falsi allarmi
09 13 01 del 02 10 2016 viene nuovamente visualizzata per
indirizzari
gi?
problemi
darci alcun aiuto
da Francesca Maria Occhionero che lasciano
due si confrontassero circa
alle
nel
alle 8 25
seguente
Giulio
Giulio ti prego di
coinvolta
un
contenente numerosi
caselle del dominio gmx com tramite le quali
del client di
mezzo
messaggi email
gli indagati esfiltrano i dati dai PC
delle vittime
Si evidenzia
alle
ripete
come
ore
tale
operazione
16 16 52
presenza di nuovi dati
indice di
i
server
remoti
come
pi?
volte nell
sono
acquisti
? stato
e
pin
accertare che tutti i
possibile
uso
dell
carico cancellando dati che
meglio
di
erano
presenti
a
partire
dalle
sia sul
seguito specificato significando
azioni effettuate si rimanda all annotazione
ore
come
partire
a
suo
degli
PC locale che
che per
una
dalle
con
ore
14 41 del
elementi di prova
su
dettagliata
alcuni dei
server
descrizione delle
riportata in allegato 14
14 42 16 ha eliminato alcune delle credenziali di
ewallet ossia nel gestore di
collegamenti
applicativo remote desktop
04 10 2016 Giulio OCCHIONERO abbia dato inizio alla distruzione
come
si
giornata
112358
L analisi di tali screenshot ha inoltre permesso di accertare
remoti
della
Giulio Occhionero controlli costantemente la
stati effettuati mediante l
autentificazione tramite smartcard
suo
arco
carpiti dalle vittime
Dall analisi effettuata sui dati
verso
venga effettuata
password
da lui utilizzato
accesso
presenti nel
suo
32
alle
locale
cui Archive
tra
vede che tutti
Hanger
e
tre i file in
Si evidenzia che
memorizzato sul
ore
tramite l
elettronica utilizzato per la
applicativo
account che
gli
Successivamente per
C MDaemon Users
ore
gestione
sono
per
garantirsi
dei dati
deliver
carpiti
di torbrowser
xema11757
con
collega
index
al
riga
server
posta
Si elencano di
archive
hgr
freports e reports
entra all interno della cartella
e
hpool
Studio accede al codice del malware
Core vb Dai moduli
com e
e
particular3 particular2 particular
messaggi
compilatore Microsoft Visual
m
MailDemon
dal malware
gpool hpool
presenti preleva
utilizzando
una
le credenziali di
connessione anonimizzata
procede alla cancellazione degli account
8SFNkkaH
password V1hr
ER T82
si evidenzia che tali account contenevano
dell architettura del C
dell
aveva
riga
di Windows si
ed elimina la sottocartelle archive
password H
con
remoto
deliver3 deliver2
al servizio di cloud hidrive strato
veplo60822
pst sopra indicati quindi Giulio
server
la totale cancellazione dei
hostpenta com
15 41 tramite il
mezzo
il malware
dei dati esfiltrati dalle vittime che
Desktop
Remote
stati cancellati
ed apre la classe denominata
accesso
quali
tramite i
com
Reports vengono
e
account ad eccezione dell account test del demone di
special5 special4 special3 special2 special
alle
copia
Hanger
PC
alla rimozione di tutti
seguito gli
@gmx
Eliminando i file
15 11 43 cancella i dati esfiltrati anche dal
A tal scopo infatti
procede
nelle cartelle
precedenza
cancellato la
quindi
suo
si
posta dei relativi account dall immagine
di
email inviati alle caselle
esfiltra i dati dai PC delle vittime
OCCHIONERO ha
e
questione risultano essere stati creati il 10 02 2012
descritto in
come
messaggi
memorizzati i
messaggi
PC in
suo
Hanger pst
eliminando i files Archive pst
Reports
e
contenevano tutti i
Reports pst che
alle
sul
posta elettronica presenti
14 56 36 ha cancellato alcuni account di
ore
parti
C utilizzato per la
nello
specifico la
gestione
zona
del malware
denominata Base
cfr
pagg 30
e
segg
allegato 3
Successivamente
procede
della stessa classe
e
alla cancellazione di altri account
connessi alla medesima architettura del C
https llwebdav hidrive strato com usersfjapawa65731
https llwebdav hidrive strato com
anulcia@msn
e
com
users
gola34757
stringhe presenti
C
come
di
all interno
seguito elencato
33
hgrghk tmpwebshell e carrier
rimuove i valori relativi alle variabili
https llwebdav hidrive strato com
usersidruza29461
babe1964@hotmail it
atccorp in@gmail com
https llwww dropbox com s 6c579w98hmjd2o3 XHJe8MUmvT34
dl 1
https llwebdav hidrive strato com wgetl8DWrt2Kg
MN600 849590C695DFD9BF69481597241E 668C licenza MailBee
MN600 481597241E8D9BF6949590C695DF 774D licenza MailBee
password
8ST V uSe@ presente nel modulo PCMDPWD
passwordCxwU1u
alle
ore
ME
presentenelmoduloWEBDECCERTPWDNEW
15 57 25 accede alla classe
cEmailfob vb
contenenti le variabili ds1 ms1 dc1 ds2 ms2
alle
ore
e
procede
alla cancellazione delle
e
procede
alla cancellazione di altre due
presenti nel codice
MN600 3 E3A3C593AD5BAF50F55A4E D60E0 385D
MN600 AD5B AF50F55A60E043 E3 A3C593ED 874A
alle
ore
16 00 17 modifica la classe mWakeUP vb eliminando le
username
URL
URL
URL
lu_1974@hotmail
https lldav box com
seguenti credenziali
com
https llstorage driveonweb delprobdav
dav
username
usernamebalu9487
gaia gennarini@yahoo it
https llwebdav cloudme com fugik12239 xios username fugik12239
cozzolinofrancesca@hotmail it
URL
https lldav box
com
dav
UR L https lldav box
com
dav username
username
righe
dc2
15 59 16 ritorna sulla classe mCore vb
licenze MailBee
e
ultu40166@yhaoo
co
uk
cucciola87ps@hotmail it
URLhttp
llwebdav 4shared comusernameeyiri33730@yahoo
username
whatsupevents@hotmail it
username
wuldeh2207@gmail com
username
mascia_msn@hotmail
es
it
URLhttp webdav cloudme com gako6649 xiosusernamegakod6649
34
url
https llstorage driveonweb delprobdav username luther5498
username
Alle
ore
come
di
ale_pala84@hotmail it
16 09 47 elimina alcune ricerche avanzate che
sul
suo
PC
si
pu?
seguito elencate
AND fiorillo
foldermessages
folderreports
AND vitalino fiorillo
folderreports
AND
giulio occhionero
folderreports
AND
postepay
folderreports
AND antonio
pulcini
folderhanger
AND antonio
pulcini
AND
foldermessage
stefano galiardi
folderreports
AND gdf it
folderreports
AND
giuseppe campanelli
folderhanger
AND
giuseppe campanelli
foldermessages
AND
foldermessages
AND 4shared
foldermessages
AND theboxteam@box
foldermessages
AND hidrive
foldermessages
AND box
Non ?
preimpostato
aveva
nota
la sintassi
studiodangelo@hotmail
com
com
esatta
di tali
affermare siano riconducibili
ragionevolmente
ma
query
a
considerandone il
ricerche di
parole
nome
chiave effettuate in
specifiche cartelle
in tal
senso
ad
esempio le query
AND antonio pulcini
pulcini effettuate
all interno delle cartella
ed
Reports
esfiltrati
che Antonio Pulcini ?
Hanger
Appare quindi evidente
come
da ci? sarebbe derivata l
intero
ogni volta
AND antonio pulcini
starebbero ad indicare due distinte ricerche delle
le cartella
e
folderreports
reports ed hanger si fa presente
e
folderhanger
keyword
a
antonio
e
tal proposito che
vengono utilizzate dal malware per memorizzare i dati
una
delle vittime accertate di infezione
le ricerche sopra elencate venissero
esigenza
di salvarne il contenuto per
ripetute con frequenza e
non
doverlo
digitare per
35
Terminata tale
malware che
della
alle
dopo
subito
Work
e
accede alla cartella del disco locale dove ? memorizzato il
denominato
Eyepyramid
e
cancella alcuni file
16 10 27 accede alla cartella D
ore
quale sono presenti
storagate com
D
come noto ?
specifico
Nello
operazione
com
cancella il contenuto delle cartelle storagate
alle
ore
ed esegue le
cancella i file smtps xml
graph bak e
Forms all interno
email it gmx com hidrive
com e
com e
gmx com
16 12 47 accede alla cartella del modulo
EyePyramid Mailfaker
cartelle
Eyepyramid
Work
5 sottocartelle denominate aol
e
al percorso
Mailfakern
seguenti operazioni
tasks xml
cancella il contenuto del file alerts txt
alle
alle
ore
16 14 41 cancella anche la cartella D
Work
16 15 19 accede alla cartella D Work
ore
XML XML
modifica i file params xml
Notepad
16 16 06 cancella la cartella D Work
alle
ore
che
paiono
essere
file doc
e
pdf esfiltrati
EyePyramid Networking
EyePyramid Obj
wuc xml e
utilizzando
e
un
editor
jfbc xml
Reference
EyePyramid
dai PC delle vittime
e
che contiene
quelli
che hanno date di ulti
a
modifica comprese tra il 29 10 2010 ed il 05 05 2011
Quanto ricavato dalle intercettazioni telematiche pu?
essere
emersi anche dalle attivit? di intercettazione telefonica
effettuata sull utenza mobile 347 2384800 intestata ed in
seguito riportato nel dettaglio
alle
ore
vds
per la quale avrebbe dovuto trasferirsi
poi parla
Server28
e tra
a
del
quale le
l altro ci sto deviando certi
Tale affermazione
gestione
a
una
quella
come
dice
parla con la sorella Francesca
Berlino per 5 mesi
l ho usato
un
po
seguendo
mo
tra cui
lo sto usando
me
uno su
lo
so
SQL
installato
riferita ai
descritti nel
log
dettaglio
dei
in
server
facenti parte l infrastruttura di
precedenza
nella
quale
Giulio
parla
Il modulo Mailfaker ha il compito di inviare messaggi email contraffatti come mezzo di propagazione del
malware cfr pag 25 dell allegato 3
28
SQL Server ? un sistema relazionale di gestione di database prodotto dalla Microsoft
27
di
log dei nostri cosi
palesemente
del malware
a
proposta di lavoro che lui avrebbe ricevuto e
alla sorella dei corsi di informatica che sta
proposito
riferimento
Giulio OCCHIONERO
07 2016 Giulio OCCHIONERO
Maria ed inizialmente i due discutono di
Giulio
particolare
con
uso a
dai rilevanti elementi
allegato 15
giorno 31
10 41 19 del
completato
al
36
lascia chiaramente intendere
plurale
delittuose di cui al
partecipazione
La
serve un
siano entrambi
SQL replicato li
dell infrastruttura in
creato
un
questione
ore
17 17 24 del
app per
continui ad
usare
il
server
ma
te lo metti li
Si evidenzia infatti
due stronzate
far
ad indicare
plurale
lui le dice
giorno 08 08 2016 quando
parte che noi ce li abbiamo i
a
ulteriormente confermata dalla
poi
di Francesca Maria Occhionero appare
gente che vive avendo
nelle condotte
partecipi
presente procedimento
conversazione avvenuta tra i due fratelli alle
Se ti
come
come
?
guarda c
parlando
come
questa sia gestita da
entrambi
Rilevanti elementi circa le
responsabilit?
di Francesca Maria OCCHIONERO
anche dalle attivit? di intercettazione telefonica sull utenza mobile 3492943428
di
seguito riportato nel dettaglio
Alle
del
ore
suo
12 01 30 del
vds
se
? stato risolto il
risponde che ha ancora problemi ad accedere
alle cartelle condivise che ha sul dominio westlands
com
esplora
di solito mi faceva
nega l
accesso
non
Dal
dice
poter accedere
esse
A
a
un
dominio
quelle
Microsoft
cartelle
le cartelle condivise di
sfogliare tutte
?
non
sua
linea fissa
regolarmente
Per
poi aggiunge
di lavoro
dunque
quindi
me
io lavoro
io per accedere che
com
a
?
cosa
quel punto lui
questo dominio westlands adesso invece mi
il dominio ? fuori
possibile raggiungerlo
Chicago
a
in America
perch? noi accediamo con smartcard
della
telefonata
appare
OCCHIONERO sia solita connettersi ai
accertato
di
tramite la
risorse e chiamo slash slash ed il dominio che ? westlands
ha le credenziali
contenuto
directory condivise
io devo
quindi
io apro
faccio
sono
che
problema
mentre riesce ad accedervi
utilizzando la connessione del cellulare Francesca Maria Occhionero
da remoto
come
giorno 05 10 2016 infatti l indagata riceve una chiamata da parte di un tecnico
lamentato Lei
fondamentale perch?
lei intestata
a
allegato 17
Internet Service Provider la societa McLink che le chiede
questa aveva
infine emersi
sono
corrispondono
ai
server
di C
evidente
server
quindi
anche
come
del dominio westlands
C del malware
e
sfogliare
com
Francesca
che
come
Maria
? stato
le cartelle accedendo ai fi
in
contenuti ossia ai dati esfiltrati dalle vittime
ulteriore
responsabilit?
stato l
completamente
di entrambi
atteggiamento
del
presente compendio probatorio
gli indagati
per i fatti per cui si
tenuto da Giulio
perquisizioni domiciliari cui
sono
stati
e
e
per
procede giova
meglio
evidenziare
Francesca Maria OCCHIONERO
oggetto in data 05
10 2016
definire 1
nel
quale
corso
sia
delle
37
I due resosi conto della
ad un
presenza
degli operanti
hanno cos?
complesso sistema di videosorveglianza
porta della propria abitazione grazie
innanzi alla
agito
Giulio OCCHIONERO ? immediatamente tornato nella stanza adibita
riavviato il
suo
PC che evidentemente
era
regolarmente
acceso
sul
sistema di cifratura BitLocker della Microsoft rendendo in tal modo
dati in
esso
a
quale
studio ed ha
era
installato il
impossibile l accesso ai
contenuti
Francesca Maria OCCHIONERO nel
della madre
ove era
stato rinvenuto
richiesta di fornire la
di
password
della
corso
un
PC
accesso
perquisizione
acceso e
l
effettuata nell abitazione
bloccato sulla schermata di
indagata
ha
volte
digitato pi?
una
login
alla
password
errata causando il blocco definitivo della smart card
Non solo
Maria
ma
durante la successiva
verso un
PC
comandi dalla tastiera
dalla
sua
In altre
portatile
riusciva
a
che
era acceso e
entrambi
dopo
sfiorare la smart card in
sede e causando il blocco del sistema
parole
effettuata presso la
nell atto di assistere alle attivit?
OCCHIONERO
lanciandosi
perquisizione
gli indagati
hanno
univocamente indicativi della loro volont? di
ha
aver
sua
abitazione Francesca
compiuto
un
gesto repentino
inutilmente tentato di
inserita sfilandola
esso
impartire
leggermente
operativo
posto
in
impedire
essere
l
computer al fine di evitare il rinvenimento di elementi
comportamenti
accesso
manifestamente
alle memorie dei
probatori
e
propri personal
rilevanti per il
procedimento
penale de quo
Qualificazionegiuridica dei fatti
Chiaramente
integrati
all interno di
un
malware
risultano i reati in
medesimo
informazioni
mondo della politica
e
e
disegno
epigrafe
criminoso volto ad
dati sensibili che
dell alta finanza
indagati
ha
integrato
acquisire
permettessero
grazie
disponibilit? dei professionisti che vi operano e
La costante attivit? di
indicati tutti evidentemente
a un
mediante l utilizzo di
ai due di
avvantaggiarsi nel
cospicuo patrimonio
delle autorit?
pubbliche
conoscitivo nelle
di riferimento
monitoraggio delle comunicazioni cos? come posta in
la violazione di
pi? norme incriminatrici
compiuti
essere
d
i
ue
38
In
luogo
primo
bersaglio
sistema informatico
il
utilizzando
malewere
delitto
attraverso
momento dell
quali
accesso
o
sono
virus
li
di
keylogger e quindi carpisce
di
accesso
tutti
imporgli
ogni condotta
e
ordini
account in
gli
on
3 dell art 615 ter
c
pubblico
p
originarie prime
tra tutte
da interferenze esterne Non si
l
line
in
profili
esportazione
di
operazioni gestite
dal
comporta
un
anche la funzione
le chiavi
tutte
titolare nel
l hacker
social
La
ecc
comma
dell
o
relativi all ordine
e
di
corso
di
accedere
contestata
art 615 ter c
sicurezza
p attesa
comporta
pubblica
comma
o
2
del virus inoculato certamente altera il
interrompendone parzialmente
trascurare
sistema
fattispecie
aggravante di cui al
protezione predisposte proprio
pu?
dei dati
suo
i
captare
per
imprescindibile
Controllo
condizione
sul punto che
le
funzionalit?
al fine di
ogni
preservarlo
malw
e
la modificazione alterazione d 1
informatico infiltrato alterandone il funzionamento
delle
protezione
atteso che in molti casi i sistemi informatici
atteso che la natura
quelle
possiede
utilizzate dal
o
sistema
conseguenza
Sussiste in fine l ulteriore
funzionamento del sistema infiltrato
permettere
mette
certamente di interesse militare
comunque di interesse
o
un
di Comando
aggravata prevista dall ultimo
la natura di molti dei sistemi infettati
n
sia
possesso del titolare del sistema infettato caselle di
conti correnti
inoltre la forma
aggrediti sono
La
distanza
a
di infezione di
trasmette al centro
Conseguentemente
posta elettronica cluod
assume
accesso
muniti viene sistematicamente violata sia al
informatico conservate nel sistema
a
l
consente
parte dell hacker
di comandi da
dell azione di infezione informatica Peraltro il virus utilizzato
abusivamente
infettato
stato
sottopone ad attivit? di controllo
indeterminabile di accessi abusivi successivi
web
sistema
a
iniziale per l inoculazione del virus sia nei momenti successivi nei
contenuti ivi custoditi In sostanza
connessioni
sia
mirata dei suoi contenuti
l hacker accede al sistema infettato per
numero
hackeraggio
predetto
quindi
e
imposizione
estrapolazione generalizzata
informatica di cui i sistemi infiltrati
il
Infatti
EyeFiramid
distanza realizzata sia attraverso l
abusivo
accesso
della condotta di
indiscriminato da remoto ai sistemi infettati
a
di
condotta che ricorre in tutte le occasioni nelle quali
art 615 ter c p
informatici telematico
il
il
configurabile
?
informatico
con
grave rischio per la
Tale
ulteriore
si
pericolo
oltre
a
istema
ezza
ap
are
39
quando
estremamente grave
i servizi resi dal sistema informatico violato
sicurezza nazionale Basti pensare al
il
alle condotte illecite descritte
dell ENAV
contenente
al
primo atto scoperto grazie
tentativo di
informazioni
quale
si ?
alla
potuti risalire
del sistema informatico
hackeraggio
dati relativi alla sicurezza
e
pertengono
pubblica
nel settore
dell aviazione civile
Inutile
spiegare quanto delicate
e
cruciali per la sicurezza nazionale
relative all ente nazionale aviazione
ai dati dei
rotte di volo
alle
siano informazioni
dipendenti
ove
soprattutto si consideri il clima politico mondiale odierno
La pena edittale per le condotte sussumibili all art 615 ter
reclusione per l
cui al
ipotesi aggravata di
2
co
n
3 della medesima
pubblico
di cui
fattispecie
aggravata
agli
artt
617
a
cinque
carcere
quater
617
e
quinquies
c
entrambe nella forma
p
di intercettazione abusiva del traffico telematico
La finalit? di interesse
informatici infettati determina la
quater
co
4
n
1
rispettive pene edittali
Sul
particolare
acquisizione
e
617
da 1
a
quinquies
di alcuni di essi
altamente
probabile
quale
sono
2
che
nella
sistemi
serventi molti tra i sistemi
delle circostanze
comma
con
server
e
in
ultimo
informaziopni
ed atti
fatti narrati
spazi per l aggravamento
segretezza
alla
configurabilit?
dati
dei contenuti
su
pubblico
generato dai
e
aggravanti
effetto
di cui all art
speciale
fissano le
che
l ulteriore
5 anni di reclusione
disvalore dei
conservati attualmente
ulteriori
la
ricorrono invece in relazione alle condotte di installazione abusiva nei sistemi
conseguente attivit?
617
caso
quindi applicabile
informatici hackerati di softwere idonei ad intercettare comunicazioni telematiche
infettati
anni di
nei termini indicati dal
da tre ad otto anni il che rende
norma
richiesta misura della custodia cautelare in
Le
p ? da uno
3 del citato articolo aumentata nel
in cui il sistema informatico infettato rivesta interesse
comma
c
esteri
oggetto
pertinenza
sarebbe inevitabile
nell ambito die delitti contro la
sottolinea
sottratti
al settotre
dagli indagati
rogatoriali gi?
atteso che
qualificare
personalit? dello
gi?
di attivit?
delle contestazioni
la loro
si
una
politico
e
avviate
e
257
c
apre
volta dimostrata la
o
militare
gi? oggi
ricondurre le azioni cri
Stato artt 256
e
p
in
e
40
ESIGENZE CAUTELARI
L analisi dei
non
singoli episodi
si tratta di condotte isolate
hanno
gestito
i loro affari
presente procedimento
ricostruiti nel
ma
di
un
modus
interessi economici
e
dei due
operandi
e
mostra chiaramente che
indagati
che per anni
secondo le descritte modalit?
personali
illecite
Oltretutto il ricorrere di alcuni indizi probatori anche in altri procedimenti aventi similare
oggetto
fratelli
nel
lascia intendere che la
ma
presente vicenda
che al contrario si collochi in
politica e della finanza
settore della
Ci si riferisce in
al diretto
particolare
un
non
sia
pi? ampio contesto
secondo le modalit? sin
collegamento tra
soggetti
relative alla
informazioni
anche
c
d P4 aventi ad
oggetto di imputazione
delle indagini di 4 caselle
corso
da
coperte
nonch? di altri dati sensibili
o
personali al fine
di consentire
ed al di l? di
procedimenti penali
pericolo
che Giulio
non
e
qualsivoglia collegamento
pu?
con
in
e
corso
di eludere le
stato
qualora
non
dimostrato con altri
un
concreto
attuale
e
permangano in libert?
specie di quelli per cui si procede
Primo dato da cui desumere tale concreto
coerente
allo
dubitarsi della sussistenza di
commettano altri delitti della stessa
un
di notizie
utilita
Francesca Maria OCCHIONERO
di tale illecita attivit? per
acquisizione
soggetti inquisiti
a
dalle
emerso
segreto alcune delle quali inerenti a procedimenti penali
indagini giudiziarie ovvero per ottenere favori o altre
Ci? premesso
l illecita
oggetto anch esse
operano
qui descritte
posta elettronica gi? utilizzate per attivit? similari secondo quanto
indagini
di
dove pi?
le condotte
ed interessi illeciti oscuri desumibile dal rinvenimento nel
di
isolata iniziativa dei due
un
pericolo ? costituito
lunghissimo periodo
gli ingenti quantitativi
sin
dalla riscontrata protrazione
dagli
di dati raccolti le
anni 2011 2012
numerose
persone
il che ?
se
uite i
41
consistenti numeri dei
soggetti istituzionali
dei sistemi informatici di interesse
e
pubblico
monitorati mediante il malware
La
ripetitivit?
la
e
la
grande spregiudicatezza con
manifestazione anche il
accertamento
preordinata
delle condotte delittuose si accompagnano
pervicacia
quale i due indagati le hanno poste in
delle medesime mediante
ad
dai medesimi
comportamento
inquinare
il
attivit?
una
quadro probatorio
tenuto
di cui appare
essere
impedire
volto ad
attraverso
una
l
chiaramente
si ? illustrato
come
alla
peraltro
sistematica distruzione
delle prove
Al
riguardo
lo
perquisizioni
preciser?
in
stesso
atteggiamento
dai due fratelli Occhionero tenuto in occasione delle
condotte dalla P G presso i
da
seguito
rispettivi
domicilii appare connotato
notevole scaltrezza dalla
una
abitualit? delle illecite condotte ed
un
assoluta
quale
come
pure ? dato desumere
inconsapevolezza
si
una
delle
del disvalore
stesse
in tale contesto il
Orbene
intensit? dello
stesso rende
grado
appare l unica in
pericolo
pi?
che concreto ed attuale
e
l
assolutamente necessario il ricorso alla misura custodiale che
di escludere la reiterazione di reati della stessa indole
possibilit?
in maniera assoluta la
di recidivanza ?
di utilizzo di
qualsivoglia
limitando
strumento tecnico
a
ci?
necessario
Non
infatti
pu?
non essere
costituita da
minima
monitorare l
uno
operativit?
smartphone
dei malawere
ricorso alla misura cautelare
pure
non
applicate
evidenziato
degli
cumulativamente
come
e
gi?
una
sia sufficiente
una
dotazione informatica
per continuare
connessione internet
il che rende del tutto
attivati
arresti domiciliari
stante l assenza
o a
inadeguato
misure meramente
di alcun
significativo
a
il
prescrittive
effetto deterrente
precludendo queste la possibilit? di perseverare nei comportamenti contestati
Non solo
profilo
come
tecnico
gi?
ma
detto la reiterazione delle condotte appare assai
pure
della botnet tramite la
ospitata
su server
va
quale
evidenziato
internet ubicati all estero
gli imputati gestiscono
non
A l
sottro il
essendo l intera struttura di controllo
come
si ? accertato che
agevole
?
i P C compr
possibile procedere
m
al loro seque
ssi
r
il
42
che
non
consente di
determinato
periodo
frapporre
al fine di trasferire altrove il controllo della botnet
contenuto di dati ed informazioni sino ad
Tale circostanza
ora
inquinamento probatorio che appare concreta
della condotta di occultamento
di
dell ulteriore
concorrenza
e
e
salvare l
un
ingente
illecitamente acquisito
peraltro permette ai prevenuti
la
evidenziando
al loro utilizzo per
agli indagati
ostacolo
alcun
le prove
poter cancellare
cautelare
esigenza
e non astrattamente
distruzione delle prove
gi?
a
loro carico
di
pericolo
del
prevedibile
in
ragione
consumata da entrambi
gli
Occhionero
Si sottolinea
infatti
come
sia
dall attivit?
emerso
informatici fonte di ulteriore riscontro delle condotte illecite
cancellati dai
hanno cominciato
predetti quando questi
svolta
investigativa
alcuni dati
come
siano stati
commesse
gi?
sospettare dell esistenza del
a
presente procedimento
Tale attivit? di cancellazione
immagazzinati
rogatoria gi?
su server
non
ha tuttavia
avviata presso l autorit?
emersi
peraltro gi?
quando
a
presumibilmente
utilizzate in
La volont?
precedenza
e
quando
acquisizione
tale infrastruttura
un
codice di
?
oggetto
come
poste sotto sequestro in
accesso
inoltre alcuni account di servizi di Cloud
Ad ulteriore
riprova
statunitense di
congelamento
di
assenza
delle
e
Seattle
dei dati contenuti nei
fonte di prova si palesava chiaramente
riferisce
cui l
server
Giulio
data 05 10 2016
Storage che
si
sono
smart card
erano
sviluppato
nella
sua
come
i
carpiti
disponibilit?
e
che
14
competenti uffici dell
Ufficio del P M
utilizzati
gi? in
cancellando
procedimento per cui si procede cfr allegato
tale volont?
Washington
di
per il dominio della Westlands
Giulio OCCHIONERO eliminava sia i dati abusivamente
elementi rilevanti per il
gi?
procedura
precedenza
descritto in
dai PC vittima di infezione che il codice stesso del virus da lui
contenevano
di
al controllo della botnet
e
allo scopo di autenticarsi anche in
degli indagati di distruggere ogni
data 04 10 2016
dati
maggior parte dei
la
giudiziaria statunitense
in data 08 10 2016
Occhionero richiedeva ed otteneva
Securities
estero la cui
collocati all
Tentativi di accedere nuovamente
riguardato
dagli indagati
si
era
rivolto pe
il
abbiano comunicat
43
Raw Data
216 176 180 X
che
riconducibili
ha ricevuto la richiesta da
sono
presso la
quale
che la societ?
risultati
essere
sono
di
ospitati
i
server
della classe di indirizzi IP
propriet? degli indagati
parte del cliente
di
o
di persone
scollegarli
a
loro
dalla rete
e
spedirglieli
tenore altra
Dello stesso
sono
ospitati
sono
di
i
del
cliente ha chiesto di
Alla luce di
di
Dedispec
provider
e sono
stati solamente
presso la
questo
caso
quale
invece
cui il
noleggiati dagli indagati
scollegarli dalla rete
tentativo
quanto detto risulta pertanto chiaro ed inequivoco il
distruggere
LLC
della classe di indirizzi IP 199 15 251 X che in
server
propriet?
richiesta ricevuta dalla societ?
le fonti di prova
loro carico che
a
come
descritto si trovano
degli indagati
sistema
su un
e non ancora
del tutto
che esistano altri server di gestione della botnet che
non sono
informatico estremamente distribuito ed ubicato in
paesi
esteri
noto
Non si
pu? quindi escludere
stati individuati nel
corso
delle
indagini
permettere agli indagati di ripristinare
utilizzato fino ad
oggi consentendo
o
addirittura
di
backup
che possano
completo
il sistema informatico da loro
proseguire
le condotte delittuose che hanno
nel
loro di
server
portato ayanti per diversi anni
Orbene
anche tale
ragioni gi?
carcere
esigenza cautelare appare adeguatamente tutelata
evidenziate
avendo i
solo
con
prevenuti gi?
l
applicazione
offerto
capacit? di inquinamento e distruzione
Al
riguardo
pure ?
Occhionero di
ampiamente
emersa
gli
esiti
attraverso
possibilit? di contatto
l
una
significativa
e
reale
delle prove
la sussistenza di
il
una
rete di contatti che consente
presente procedimento penale
dimostrato l attivit? di intercettazione da ultimo
ed influenzarne
collegamenti
della misura cautelare della custodia in
ampia dimostrazione di
acquisire informazioni riguardo
volont? dei medesimi ed in
per le medesime
particolare dell
Occhionero Giulio
registrata ed
di
conoscerne
come
una
i
agli
ha
precisa
particolari
dalch? appare assolutamente necessario recidere anche tali
applicazione
di
una
misura cautelare che escluda q alsiasi
44
Rileva
in ultimo il
poi
pericolo
di
residenti
a
fuga
giudicante
come
nei confronti
dove
GB
senza
dubbio
Francesca Maria OCCHIONERO ? cittadina
anni insieme al fratello ed alla
di lavoro
colloqui
famiglia
esse
In
e
ha
tale
ove
Regno Unito
esigenza cautelare appare dotata
contatti
e
in
esigenza
ragione
sottrarsi alle
Si
questi
o
ore
che
gli ?
alle
ore
del carattere di
Si evidenzia
a
abbia
la
possibilit?
determinata dal
giorno 08
sul
da
tempo
punto le
da alcune di
un
intensa attualit?
Giulio
ben
potendo
di utilizzare alcuni di
questi
estero
pi? impellente
presente procedimento penale
di
italiana
08 2016 Giulio OCCHIONERO comunica alla madre
proposto un lavoro presso la sede di Londra della Deutsche Bank
18 39 47 del
giorno
head hunter che
un
sede
stato
sta
punto alcune delle conversazioni di interesse
18 09 55 del
alle
cfr
lavorativa di Giulio OCCHIONERO ? certamente
indagini della magistratura
sul
ed ha abitato per
in Polonia
per darsi alla fuga trasferendosi all
della necessit?
riportano quindi
da
che
opportunit? lavorative
D altro canto l
proprio
ritenersi
nata
che Giulio OCCHIONERO
soprattutto in relazione alla posizione dell indagato Occhionero
ragionevolmente
?
che
circostanza che
anche dalla
Stati Uniti
sono
conoscenze
gi? ricevuto manifestazioni di interesse
per posizioni lavorative in Irlanda
particolare
fuga
e
societ? aventi sede all estero
con
intercettazioni telefoniche in atti
degli
e
di locali
dispongono
facilmente consentire loro di darsi alla
effettuando
anche il
che appare fondato oltre che sul dato inconfutabile che entrambi
Londra
potrebbero
sussista
degli indagati
05 09 2016 Giulio OCCHIONERO riceve
posizione
gli
propone
una
pi?
volte nel
corso
all interno di
una
una
telefonata
azienda che ha
Dublino
come
si ? rivolto ad
un
sia
emerso
delle
cosiddetto head hunter28 per trovare
indagini
un
che Giulio OCCHIONERO
impiego
all estero idoneo alla sua
professionalit?
29
Head hunfe7 ?
un
effettua ricerca diretta
posizioni diriger ziali
termine informale per indicare chi svolge la professione di executive search ossia i
e selezione del
personale mirata a trovare i manager pi? adatti a ricoprire
all interno di aziende
e
organizzazioni
AA
45
alle
16 13 39 del
ore
Francesca Maria
tra
e
617
per i reati di cui all articolo
indagato
Giulio OCCHIONERO ?
quindi
presente procedimento penale a
suo
carico anche
venuto
se
a conoscenza
16 41 10 del
ore
Francesca Maria di
giorno
aver
stato ricontattato
stato
per
un
ricevuto
08 39 22
sottoposto
a
e
con
denominato
opzione
telefonico
e
sua
posizione
giorno 08
quale
il
Tim
che nei
e
successivi sarebbe
giorni
questo fosse andato bene sarebbe
se
10 2016 ossia tre
in
Tale attivazione anche alla luce della
di
parti
giorni dopo
messaggio
un
stato
SMS concatenato
Full
Viaggio
pacchetto
che
comprende
traffico
Europa
particolare
circostanza
temporale
in cui ? avvenuta
che Giulio OCCHIONERO possa darsi alla
pericolo
essere
viene informato che sulla linea ? stata attivata
telematico da utilizzare in
fa ritenere reale il
telefonata ricevuta dalla Deutsche Bank che
riceve le due
perquisizione
email riservata
presso la loro sede di Londra
08 39 24 del
inviato dalla TIM
una
colloquio dopodich?
organizzato un incontro
ore
una
dell esistenza del
21 09 2016 Giulio OCCHIONERO racconta alla sorella
sembrava molto interessata alla
alle
quater C P
ipotizza si tratti di
momentaneamente
fatta nei suoi confronti per la rivelazione del contenuto di
alle
l
della visione del certificato ai
seguito
a
P M Albamonte
In tale occasione
querela
OCCHIONERO chiama la sorella
09 09 2016 Giulio
l altro la informa che
? risultato
sensi del 335 C P
con
giorno
fuga recandosi
all estero
alle
ore
23 06 14 del
SMS avente il
giorno
seguente
08 10 2016 Giulio OCCHIONERO riceve
testo
446226
Use this code
for
un
messaggio
Westlands Securit
verification
Si ritiene che l
aver
richiesto
e
successivarnente ricevuto
tentativo di Giulio OCCHIONERO di
della
quale
evidentemente
utilizzate in
come
non
descritto
riusciva
precedenza per
pi?
fanno
avere
accesso
parte
i
ad accedere
a
tale codice possa
palesare
il
alla rete della Westlands Securities
server
di
seguito
del
gestione del
sequestro
delle
malware
sm
cui
rt card che
l autenticazione
I
46
Un altra conversazione nella
quale
OCCHIONERO
viene manifestata la volont? di Giulio
di trasferirsi all estero per motivi di lavoro ?
poi
dall intercettazione telefonica
emersa
effettuata sull utenza fissa 0687070848 attestata presso la
sua
vds
abitazione
Allegato
16
In data 08 10 2016 infatti costui ha ricevuto
che
chiamare
e
navigare dall
In conclusione deve
di
recidivanza
a
N? d altro
contestate
pu?
permette di
che
di
fuga
all estero
della loro
nonch? dell
a
fronte dei
di strumenti atti
l unica misura
adeguata
a
delle
di
pericolo
in
quali
ripetitivit? e pervicacia
assenza
degli indagati
prevenuti
concreto ed attuale
un
della loro
realizzare
appare
un
quella
della effettiva
condizionale della pena
gravit?
a
come
delle condotte che la pena che verr? loro inflitta
potr?
fattispecie
consentire la concessione del beneficio della
sospensione
qualsiasi
valutazione
al di l? della circostanza che allo stato
appare assolutamente
cos? da escludere
cos?
ritenersi alla luce delle pene stabilite per le
contenuta in limiti atti
prognostica
opzione
carcere
canto
e
e
modalit? delle condotte
efficace controllo nei confronti
della custodia in
sussistendo
qui esposte
consistenza ed estensione
oggettiva
Full
gestore telefonico
prezzi ridotti
inquinamento probatorio
ragione delle gravi
viaggio
suo
affermarsi la sussistenza nei confronti dei due
quindi
sin
esigenze cautelari
estero
SMS dal
messaggio
confermava l attivazione del servizio TIM in
gli
essere
un
negativa
ai sensi dell art 275
co
o
comunque
2 bis
c
pp
l
entro i tre anni
applicazione
di reclusione
della custodia in
carcere
P
Visti
gli
artt 272
e ss
e
285
c
QM
pp
APPLICA
Con riferimento ai reati contestati di cui
quater
n
1
c
p
commi 1
a
4
n
1 617
quinquies
agli artt
co
615 ter commi 1
1 3e 2
con
2
rif all art 617
n
3
e
3
617
quater comma 4
47
OCCHIONERO Giulio
nato
a
Roma il 21 01 1971 residente
a
Londra GB
ma
di fatto
domiciliato a Roma in via Ernesto Calindri nr 3
OCCHIONERO Francesca Maria
Londra GB
ma
di fatto domiciliata
nata
a
la misura della custodia cautelare in
Ordina
agli ufficiali ed agli agenti
traduzione dei medesimi presso
autorit?
giudiziaria
Dispone
che dell
il 31 10 1968
USA
nr
possa
residente
a
82
carcere
procedere
alla cattura
ed alla immediata
degli stessi
istituto di custodia per ivi rimanere
a
disposizione
esecuzione della misura sia data immediata comunicazione
giudiziaria affinch?
c
Medford
Roma in via Cambiano
di P G di
un
a
a
di questa
questa autorit?
provvedersi tempestivamente agli adempimenti previsti dall
art
294
pp
Manda alla Cancelleria per la trasmissione della
presente ordinanza
in
Ufficio del P M per l esecuzione
Roma 5
gennaio 201
Il Giudice
dott Maria Paola Tomaselli
duplice copia
all