A conclusione delle Indagini su grave attacco informatico a Leonardo S.p.a. sono state eseguite due ordinanze applicative di misure cautelari nei confronti di un ex dipendente e di un dirigente della predetta societĆ .
Indagini su grave attacco informatico a Leonardo S.p.a.
Allāesito di complesse attivitĆ dāindagine del Gruppo di lavoro sul cybercrime della Procura della Repubblica di Napoli, volte a definire i contorni di un grave attacco alle strutture informatiche della Divisione Aerostrutture e della Divisione Velivoli di Leonardo S.p.A., il C.N.A.I.P.I.C. del Servizio centrale della Polizia postale e delle comunicazioni e il Compartimento campano del medesimo servizio hanno eseguito due ordinanze applicative di misure cautelari nei confronti di un ex dipendente e di un dirigente della predetta societĆ , essendo gravemente indiziati, il primo, dei delitti di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali (rispettivamente previsti dagli artt. 615-ter, commi 1, 2 e 3, 617quater, commi 1 e 4, c.p., e 167 d.lgs. 196/2003, in relazione allāart. 43 d.lgs. 51/2018) e, il secondo, del delitto di depistaggio (art. 375, comma 1, lett. a e b, e 2, c.p.).
Al riguardo si comunica quanto segue.
Nel gennaio 2017 la struttura di cyber security di Leonardo S.p.A. segnalava un traffico di rete anomalo, in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano DāArco, generato da un software artefatto denominato ācftmon.exeā, sconosciuto ai sistemi antivirus aziendali. Ā
Il traffico anomalo risultava diretto verso una pagina web denominata āwww.fujinama.altervista.orgā, di cui ĆØ stato richiesto e disposto, ed oggi eseguito, il sequestro preventivo. Ā
Secondo la prima denuncia di Leonardo S.p.A., lāanomalia informatica sarebbe stata circoscritta ad un numero ristretto di postazioni e connotata da unāesfiltrazione di dati ritenuta non significativa.Ā Le successive indagini hanno ricostruito uno scenario ben piĆ¹ esteso e severo.
Infatti, le indagini hanno evidenziato che, per quasi due anni (tra maggio 2015 e gennaio 2017), le strutture informatiche di Leonardo S.p.A. erano state colpite da un attacco informatico mirato e persistente (noto come Advanced Persistent Threat o APT), poichĆ© realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo finalizzato alla creazione ed il mantenimento di attivi canali di comunicazione idonei a consentire lāesfiltrazione silente di rilevanti quantitativi di dati e informazioni classificati di rilevante valore aziendale.
In particolare, allo stato delle acquisizioni, risulta che tale grave attacco informatico ĆØ stato condotto da un addetto alla gestione della sicurezza informatica della stessa Leonardo S.p.A., sig. Arturo DāElia, nei confronti del quale il G.I.P. del Tribunale di Napoli ha disposto la misura della custodia cautelare in carcere.
Ć emerso, infatti, che il software malevolo – creato per finalitĆ illecite delle quali ĆØ in corso la compiuta ricostruzione – si comportava come un vero e proprio trojan di nuova ingegnerizzazione, inoculato mediante lāinserimento di chiavette USB nei PC spiati, in grado cosƬ di avviarsi automaticamente ad ogni esecuzione del sistema operativo.
Risultava dunque possibile allāhacker intercettare quanto digitato sulla tastiera delle postazioni infettate e catturare i fotogrammi di ciĆ² che risultava visualizzato sugli schermi (screen capturing). Dati aziendali riservati dello stabilimento di Pomigliano DāArco di Leonardo S.p.a. erano cosƬ di fatto nel pieno controllo dellāattaccante, che, grazie alle proprie mansioni aziendali, era nel tempo in grado di installare piĆ¹ versioni evolutive del malware, con capacitĆ ed effetti sempre piĆ¹ invasivi e penetranti.
Le indagini hanno permesso, infine, di ricostruire lāattivitĆ di antiforensic dellāattaccante, che collegandosi al C&C (centro di comando e controllo) del sito web āfujinamaā, dopo aver scaricato i dati carpiti, cancellava da remoto ogni traccia sulle macchine compromesse.
Lāattacco informatico cosƬ realizzato, secondo la ricostruzione operata dalla Polizia delleĀ Comunicazioni, ĆØ classificato come estremamente grave, in quanto la superficie dellāattacco ha interessato ben 94 postazioni di lavoro, delle quali 33 collocate presso lo stabilimento aziendale diĀ Pomigliano DāArco.
Su tali postazioni erano configurati molteplici profili utente in uso a dipendenti, anche con mansioni dirigenziali, impegnati in attivitĆ dāimpresa volta alla produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del Paese.
La gravitĆ dellāincidente emerge anche dalla tipologia delle informazioni sottratte, tenuto conto che dalle 33 macchine bersaglio ubicate a Pomigliano dāArco risulterano, allo stato, esfiltrati 10 Giga di dati, pari a circa 100.000 files, afferenti alla gestione amministrativo/contabile, allāimpiego delle risorse umane, allāapprovvigionamento e alla distribuzione dei beni strumentali, nonchĆ© alla progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale.
Accanto ai dati aziendali, sono state oggetto di captazione anche le credenziali di accesso ed altre informazioni personali dei dipendenti della Leonardo.
Oltre alle postazioni informatiche dello stabilimento di Pomigliano DāArco, sono state infettate 13 postazioni di una societĆ del gruppo Alcatel, alle quali se ne sono aggiunte altre 48, in uso a soggetti privati nonchĆ© ad aziende operanti nel settore della produzione aerospaziale.
Accanto agli accertamenti di natura informatica, sono state fondamentali le attivitĆ di indagine piĆ¹ tradizionali, che hanno permesso anche di ricostruire il percorso di formazione ācybercriminaleā dellāindagato allo stato individuato come autore materiale dellāattacco, attualmente impiegato presso altra societĆ operante nel settore dellāelettronica informatica.
Ulteriori approfondimenti hanno consentito di raccogliere altresƬ convergenti indizi di colpevolezza riguardanti la commissione del reato di depistaggio da parte del responsabile del C.E.R.T. (Cyber Emergency Readiness Team) di Leonardo s.p.a., organismo deputato alla gestione degli attacchi informatici subiti dallāazienda.
Nei confronti di questāultimo, sig. Antonio Rossi, ĆØ stata applicata la misura cautelare della custodia domiciliare, risultando gravi indizi di colpevolezza con riferimento ad insidiose e reiterate attivitĆ di inquinamento probatorio, finalizzate a dare una rappresentazione falsa e fuorviante della natura e degli effetti dellāattacco informatico e ad ostacolare le indagini. 5 dicembre 2020
Indagini su grave attacco informatico a Leonardo S.p.a. / Cristina Adriana Botis / Redazione Campania
Ā© TUTTI I DIRITTI RISERVATI. Si diffida da qualsiasi riproduzione o utilizzo, parziale o totale, del presente contenuto. Ć possibile richiedere autorizzazione scritta alla nostra Redazione. Lāautorizzazione prevede comunque la citazione della fonte con lāinserimento del link del presente articolo e delle eventuali fonti in esso citate