Tutti i dettagli dell’inchiesta della procura di Napoli contro due dipendenti di Leonardo.
L’ex dipendente di Leonardo arrestato è Arturo D’Elia, che prima di essere messo alla porta si occupava della gestione della sicurezza informatica del gruppo ex Finmeccanica attivo nella difesa, nella sicurezza e nell’aerospazio. Ieri è finito in carcere, su disposizione del gip di Napoli Roberto D’Auria, con l’accusa di avere trafugato 10 gigabyte di dati e informazioni di rilevante valore aziendale.
CHI E’ ARTURO D’ELIA
Il presunto hacker, Arturo D’Elia, 38enne di Eboli, è un ex dipendente di Leonardo dove si occupava proprio di gestione della sicurezza informatica.
IL CURRICULUM DI D’ELIA (FONTE: LINKEDIN)
D’Elia dal gennaio 2010 – per 11 anni – ha lavorato per conto della procura della Repubblica di Benevento. Poi è stato It consultant per Alenia Aermacchi (dal settembre 2014 a dicembre 2015) a Napoli. E’ stato anche It security consultant presso la Nato communications & information agency (Nci Agency), dal febbraio 2010 al novembre 2015, a Roma. Dal febbraio 2004 ad agosto 2014 è stato It consultant presso Alcatel Lucent a Battipaglia. Prima ancora, dal febbraio 2005 al febbraio 2006, è stato It security consultant presso l’Air Force Office of special investigation (Afosi).
LE ACCUSE DELLA PROCURA DI NAPOLI
D’Elia è in carcere mentre un dipendente dell’azienda, Antonio Rossi, all’epoca dei fatti nell’organismo interno di gestione degli attacchi informatici, è agli arresti domiciliari con l’ipotesi di depistaggio, scrive Repubblica, che aggiunge: “Nell’arco di due anni, sono state spiate le divisioni Aerostrutture e Velivoli attraverso un “trojan” piazzato con una chiavetta usb all’interno di 94 postazioni di lavoro, 33 delle quali presso lo stabilimento di Pomigliano d’Arco”.
LA NOTA DI LEONARDO
Leonardo, in relazione a questo aspetto, precisa, in un comunicato stampa, che “i dati classificati, ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano”.
SECONDO GLI INQUIRENTI
Per gli inquirenti partenopei i dati prelevati dai profili utente presenti su 33 computer nello stabilimento aziendale di Pomigliano D’Arco (Napoli) sono riferibili a dipendenti, anche con mansioni dirigenziali, impegnati in attività d’impresa finalizzate alla produzione di beni e servizi di carattere strategico.
LE INFORMAZIONI TRASFERITE
Le informazioni, secondo quanto emerso, venivano “impacchettate”, per celarli ai sofisticati sistemi di sicurezza dell’azienda, e poi trasferirli – come se fosse traffico dati lecito – su una pagina web denominata www.fujinama.altervista.org, per la quale è stato richiesto e disposto, ed oggi anche eseguito, il sequestro preventivo.
IL TROJAN DI D’ELIA
Tutto grazie a un trojan realizzato ad hoc dall’hacker, ricavato modificando il codice sorgente di un altro malware, per renderlo ancora più efficace e invisibile, capace di mimetizzarsi con componenti del sistema operativo Windows.
IL RUOLO DI D’ELIA
Dopo i trasferimenti, della sua presenza e del suo operato non restava traccia. D’Elia, anche agevolato dalla sua posizione di esperto della sicurezza, ha inoculato il suo nuovo gioiello software attraverso una pendrive usb e trasferito le informazioni riservate dell’azienda nell’arco di quasi due anni, tra maggio 2015 e gennaio 2017.
LA DENUNCIA DI LEONARDO
Leonardo si è accorta che c’era un traffico dati anomalo e ha denunciato, dando il via alle indagini. A D’Elia il pool cyber crime della Procura di Napoli (composto dai pm Mariasofia Cozza e Claudio Orazio Onorati, coordinati dal procuratore aggiunto Vincenzo Piscitelli) contestano l’accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali. Inizialmente D’Elia ha anche affiancato gli inquirenti della Polizia e della Procura. Poi, però, quest’ultimi si sono accorti del suo coinvolgimento e si sono dovuti anche preoccupare di portare avanti l’attività tenendo sempre d’occhio l’ignaro indagato.
LE PAROLE DEL GIP SU D’ELIA
Il gip Roberto D’Auria ripercorre i passaggi, definiti «del tutto anomali e inusuali» che portarono al rapporto con Leonardo di D’Elia, scrive Repubblica: “Nel suo curriculum si vantava di aver «riparato una falla» in uno dei cervelloni del Pentagono. Negli archivi però è spuntata una condanna in primo grado a un anno per aver violato il sistema informatico di una base americana in Oklahoma. La collaborazione di D’Elia con l’azienda sarebbe stata «caldeggiata» da Andrea Biraghi, ex dirigente poi, scrive il gip, «allontanato su decisione dell’ad Alessandro Profumo a causa di presunte irregolarità nella gestione dei subappalti». A Biraghi, D’Elia era stato segnalato dall’ex generale dei carabinieri Romolo Bernardi che ha riferito di essere stato contattato attraverso un altro ufficiale dell’Arma dal senatore Franco Cardiello, avvocato di D’Elia. Biraghi, Bernardi e Cardiello non sono coinvolti nell’indagine. L’azienda, ribadisce Leonardo, «parte lesa in questa vicenda, ha fornito e continuerà a fornire la massima collaborazione per fare chiarezza sull’accaduto e a propria tutela»”.
IL PARADOSSO SU D’ELIA IN LEONARDO
Il paradosso – ha aggiunto il Corriere della Sera – “è che D’Elia, quando le indagini della Procura erano già iniziate, non solo ha continuato a svolgere il suo lavoro di incident handler per raccogliere le prove dell’intrusione, ma addirittura ha affiancato la Polizia postale nelle verifiche preliminari”.
L’ARRESTO DI ANTONIO ROSSI DI LEONARDO
Non meno grave la posizione di un altro dipendente della Leonardo, Antonio Rossi, che era in servizio al Cyber Emergency Readiness Team: per gli investigatori del C.N.A.I.P.I.C. (diretto da Ivano Gabrielli) del Servizio Centrale della Polizia Postale e delle comunicazioni (diretto da Nunzia Ciardi) e del Compartimento campano dello stesso servizio, avrebbe depistato le indagini.
LE ACCUSE DELLA PROCURA DI NAPOLI
Nei suoi confronti, su richiesta dell’ufficio inquirente guidato dal procuratore Giovanni Melillo, è stato emessa una misura cautelare agli arresti domiciliari. Rossi, infatti, aveva riferito che i dati trafugati erano in misura molto minore rispetto alla realtà. Inoltre avrebbe anche nascosto e poi fatto sparire un computer contenente i dati dell’attacco informatico.
CHE COSA SCRIVE IL CORRIERE DELLA SERA
Scrive il Corriere della Sera: “Un intero paragrafo dell’ordinanza cautelare è dedicato al depistaggio messo in atto da Antonio Rossi, che nel 2017 presentò la prima, incompleta denuncia sul furto dei dati: per il giudice «affermava il falso, negava il vero e taceva in tutto o in parte ciò che sapeva intorno ai fatti sui quali veniva sentito»”
+++
IL CURRICULUM DI ARTURO D’ELIA (tratto da qui):
ESPERIENZA
CTO @ Finmeccanica • Dipendente
Maggio ’10 – Presente (10 anni 7 mesi)
CTO @ CERT DIFESA • Dipendente
Feb ’10 – Presente (10 anni 10 mesi)
Ingegnere @ AREACOM43 • Dipendente
Fintech Business and Communication Company
CTO @ Alcatel SPA
Febbraio ’05 – maggio ’10 (5 anni 3 mesi)
COSE INCREDIBILI FATTE DA ARTURO
Ho sviluppato un Linux Live Distibution per eseguire operazioni forensi catturando dati dall’archiviazione dei dispositivi. Il progetto è attualmente utilizzato da. Polizia di Stato e Corporazione Militare ed è costantemente aggiornato. Nome del progetto: FHC (Forensic Hard Copy) www.fhclive.org
Ho sviluppato un exploit per la vulnerabilità Sun Solaris 5.6, 5.7, 5.8, 5.9, 5.10; Ho creato più script per la correzione. La vulnerabilità era presente su Pentagon Systems (US AirForce) USAF. Ho risolto questo problema con il supporto americano.
FORMAZIONE SCOLASTICA
Università di fisciano
Informatica • settembre 2002 – dicembre 2006
Informatica ITIS
Informatica • settembre 1997 – luglio 2002
+++
COMUNICATO STAMPA DELLA POLITICA POSTALE E COMUNICAZIONI (5 DICEMBRE 2020)
All’esito di complesse attività d’indagine del Gruppo di lavoro sul cybercrime della Procura della Repubblica di Napoli, volte a definire i contorni di un grave attacco alle strutture informatiche della
Divisione Aerostrutture e della Divisione Velivoli di Leonardo S.p.A., il C.N.A.I.P.I.C. del Servizio centrale della Polizia postale e delle comunicazioni e il Compartimento campano del medesimo servizio hanno eseguito due ordinanze applicative di misure cautelari nei confronti di un ex dipendente e di un dirigente della predetta società, essendo gravemente indiziati, il primo, dei delitti di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali (rispettivamente previsti dagli artt. 615-ter, commi 1, 2 e 3, 617-quater, commi 1 e 4, c.p., e 167 d.lgs. 196/2003, in relazione all’art. 43 d.lgs. 51/2018) e, il secondo, del delitto di depistaggio (art. 375, comma 1, lett. a e b, e 2, c.p.).
Al riguardo si comunica quanto segue.
Nel gennaio 2017 la struttura di cyber security di Leonardo S.p.A. segnalava un traffico di rete anomalo, in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano D’Arco, generato da un software artefatto denominato “cftmon.exe”, sconosciuto ai sistemi antivirus aziendali.
Il traffico anomalo risultava diretto verso una pagina web denominata “www.fujinama.altervista.org”, di cui è stato richiesto e disposto, ed oggi eseguito, il sequestro preventivo.
Secondo la prima denuncia di Leonardo S.p.A., l’anomalia informatica sarebbe stata circoscritta ad un numero ristretto di postazioni e connotata da un’esfiltrazione di dati ritenuta non significativa.
Le successive indagini hanno ricostruito uno scenario ben più esteso e severo.
Infatti, le indagini hanno evidenziato che, per quasi due anni (tra maggio 2015 e gennaio 2017), le strutture informatiche di Leonardo S.p.A. erano state colpite da un attacco informatico mirato e persistente (noto come Advanced Persistent Threat o APT), poiché realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo finalizzato alla creazione ed il mantenimento di attivi canali di comunicazione idonei a consentire l’esfiltrazione silente di rilevanti quantitativi di dati e informazioni classificati di rilevante valore aziendale.
In particolare, allo stato delle acquisizioni, risulta che tale grave attacco informatico è stato condotto da un addetto alla gestione della sicurezza informatica della stessa Leonardo S.p.A., sig. Arturo
D’Elia, nei confronti del quale il G.I.P. del Tribunale di Napoli ha disposto la misura della custodia cautelare in carcere.
È emerso, infatti, che il software malevolo – creato per finalità illecite delle quali è in corso la compiuta ricostruzione – si comportava come un vero e proprio trojan di nuova ingegnerizzazione, inoculato mediante l’inserimento di chiavette USB nei PC spiati, in grado così di avviarsi automaticamente ad ogni esecuzione del sistema operativo.
Risultava dunque possibile all’hacker intercettare quanto digitato sulla tastiera delle postazioni infettate e catturare i fotogrammi di ciò che risultava visualizzato sugli schermi (screen capturing).
Dati aziendali riservati dello stabilimento di Pomigliano D’Arco di Leonardo S.p.a. erano così di fatto nel pieno controllo dell’attaccante, che, grazie alle proprie mansioni aziendali, era nel tempo in grado di installare più versioni evolutive del malware, con capacità ed effetti sempre più invasivi e penetranti.
Le indagini hanno permesso, infine, di ricostruire l’attività di antiforensic dell’attaccante, che collegandosi al C&C (centro di comando e controllo) del sito web “fujinama”, dopo aver scaricato i dati carpiti, cancellava da remoto ogni traccia sulle macchine compromesse.
L’attacco informatico così realizzato, secondo la ricostruzione operata dalla Polizia delle Comunicazioni, è classificato come estremamente grave, in quanto la superficie dell’attacco ha interessato ben 94 postazioni di lavoro, delle quali 33 collocate presso lo stabilimento aziendale di
Pomigliano D’Arco.
Su tali postazioni erano configurati molteplici profili utente in uso a dipendenti, anche con mansioni dirigenziali, impegnati in attività d’impresa volta alla produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del Paese.
La gravità dell’incidente emerge anche dalla tipologia delle informazioni sottratte, tenuto conto che dalle 33 macchine bersaglio ubicate a Pomigliano d’Arco risulterano, allo stato, esfiltrati 10 Giga di dati, pari a circa 100.000 files, afferenti alla gestione amministrativo/contabile, all’impiego delle risorse umane, all’approvvigionamento e alla distribuzione dei beni strumentali, nonché alla progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale.
Accanto ai dati aziendali, sono state oggetto di captazione anche le credenziali di accesso ed altre informazioni personali dei dipendenti della Leonardo.
Oltre alle postazioni informatiche dello stabilimento di Pomigliano D’Arco, sono state infettate 13 postazioni di una società del gruppo Alcatel, alle quali se ne sono aggiunte altre 48, in uso a soggetti privati nonché ad aziende operanti nel settore della produzione aerospaziale.
Accanto agli accertamenti di natura informatica, sono state fondamentali le attività di indagine più tradizionali, che hanno permesso anche di ricostruire il percorso di formazione “cybercriminale” dell’indagato allo stato individuato come autore materiale dell’attacco, attualmente impiegato presso altra società operante nel settore dell’elettronica informatica.
Ulteriori approfondimenti hanno consentito di raccogliere altresì convergenti indizi di colpevolezza riguardanti la commissione del reato di depistaggio da parte del responsabile del C.E.R.T. (Cyber
Emergency Readiness Team) di Leonardo s.p.a., organismo deputato alla gestione degli attacchi informatici subiti dall’azienda.
Nei confronti di quest’ultimo, sig. Antonio Rossi, è stata applicata la misura cautelare della custodia domiciliare, risultando gravi indizi di colpevolezza con riferimento ad insidiose e reiterate attività di inquinamento probatorio, finalizzate a dare una rappresentazione falsa e fuorviante della natura e degli effetti dell’attacco informatico e ad ostacolare le indagini.