Il caso dell’attacco informatico ai danni di Leonardo S.p.A. potrebbe avere contorni clamorosi. Sebbene non sia chiara la tipologia dei dati sottratti al gruppo, tutto lascia immaginare una particolare serietà del problema in virtù del quantitativo di dati sottratti (oltre 10GB), della modalità dell’attacco e del fatto che ad essere coinvolte sarebbero state professionalità interne al gruppo.
La spiegazione di quanto accaduto giunge direttamente dal Commissariato di Polizia Postale, che spiega quale sia stato il coinvolgimento del CNAIPIC nelle indagini e di come si sia arrivati anche all’arresto dei due responsabili individuati.
Leonardo Spa sotto attacco informatico: tutti i dettagli
Inizia tutto nel 2017, quando gli esperti del gruppo segnalarono del traffico anomalo che meritava approfondimenti: poche postazioni e poco traffico, ma comunque quanto sufficiente per sollevare un dubbio rivelatosi importante ai fini di quanto scoperto in seguito. Il traffico era indirizzato verso il sito fujinama.aletrvista.org (oggi sotto sequestro) attraverso un software ad hoc denominato cftmon.exe.
Le successive indagini hanno ricostruito uno scenario ben più esteso e severo. Infatti, le indagini hanno evidenziato che, per quasi due anni (tra maggio 2015 e gennaio 2017), le strutture informatiche di Leonardo S.p.A. erano state colpite da un attacco informatico mirato e persistente (noto come Advanced Persistent Threat o APT), poiché realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo finalizzato alla creazione ed il mantenimento di attivi canali di comunicazione idonei a consentire l’esfiltrazione silente di rilevanti quantitativi di dati e informazioni classificati di rilevante valore aziendale. In particolare, allo stato delle acquisizioni, risulta che tale grave attacco informatico è stato condotto da un addetto alla gestione della sicurezza informatica della stessa Leonardo S.p.A., sig. Arturo D’Elia, nei confronti del quale il G.I.P. del #Tribunale di Napoli ha disposto la misura della custodia cautelare in carcere.
Il software si è rivelato come un vero e proprio trojan persistente, installato tramite semplici chiavette USB e studiato per restare nel tempo sulle postazioni prese di mira. Il software era in grado di intercettare tutto quanto digitato sulla tastiera e catturare screenshot, portando così all’esterno informazioni preziose sulle attività eseguite.
Le indagini hanno permesso, infine, di ricostruire l’attività di antiforensic dell’attaccante, che collegandosi al C&C (centro di comando e controllo) del sito web “fujinama”, dopo aver scaricato i dati carpiti, cancellava da remoto ogni traccia sulle macchine compromesse. L’attacco informatico così realizzato, secondo la ricostruzione operata dalla Polizia delle Comunicazioni, è classificato come estremamente grave, in quanto la superficie dell’attacco ha interessato ben 94 postazioni di lavoro, delle quali 33 collocate presso lo stabilimento aziendale di Pomigliano D’Arco.
I responsabili attivi sulle postazioni violate avevano anche mansioni dirigenziali e le informazioni trafugate erano relative a “gestione amministrativo/contabile, all’impiego delle risorse umane, all’approvvigionamento e alla distribuzione dei beni strumentali, nonché alla progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale“. Materiale sensibile e di potenziale valore strategico per chi voleva carpire i segreti dell’azienda.
Ancor più grave è il fatto che il responsabile del Cyber Emergency Readiness Team, Antonio Rossi, abbia potenzialmente portato avanti azioni di depistaggio: la sua posizione sarà valutata a seguito di “gravi indizi ci colpevolezza” relativi a vari tentativi di inquinamento delle prove per tentare di ostacolare le indagini.
Non resta che scoprire il movente di tutto ed i mandanti dell’attacco, insomma.