Tutti i dettagli sul cyber attacco a Leonardo. Il ruolo del Cert dell’ex Finmeccanica

Dipendenti infedeli in Leonardo. Ecco che cosa ha scoperto la magistratura. Tutti i dettagli.

CHE COSA HA SCOPERTO LA PROCURA DI NAPOLI SULL’ATTACCO A LEONARDO

Attraverso un trojan di nuova ingegnerizzazione, inoculato nei computer attraverso delle pendrive Usb, per quasi due anni, tra maggio 2015 e gennaio 2017, hanno trafugato 10 gigabyte di dati e informazioni classificati di rilevante valore aziendale: due misure cautelari sono state notificate a un ex dipendente e a un dirigente della Leonardo (il gruppo ex Finmeccanica attivo nei settori della difesa, dell’aerospazio e della sicurezza) ritenuti coinvolti – secondo gli inquirenti – in un grave attacco alle strutture informatiche ai danni della Divisione Aerostrutture e della Divisione Velivoli iniziato nel 2015.

IL RUOLO DEL CERT DI LEONARDO

Per quasi due anni si è impossessato di dati aziendali attraverso l’uso di un malware inserito nei pc in decine di postazioni di lavoro nello stabilimento Leonardo di Pomigliano d’Arco (Napoli). L’hacker – ha scritto l’agenzia Adn Kronos – è stato scoperto grazie a complesse indagini del gruppo di lavoro sul cybercrime della Procura di Napoli, culminate oggi nell’esecuzione di due ordinanza di custodia cautelare: la prima nei confronti di un ex dipendente di Leonardo, indagato per accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali; la seconda nei confronti del responsabile del Cert (Cyber emergency readiness team) di Leonardo, organismo deputato alla gestione degli attacchi informatici subiti dall’azienda, indagato per depistaggio.

CHI E’ STATO ARRESTATO

I destinatari delle misure cautelari – secondo quanto scritto dall’Ansa e dal Messaggero– “sono l’ex addetto alla gestione della sicurezza informatica della Leonardo S.p.A., Arturo D’Elia, per il quale il gip da disposto il carcere e Antonio Rossi, responsabile del Cert (Cyber Emergency Readiness Team) di Leonardo, organismo deputato alla gestione degli attacchi informatici subiti dall’azienda al quale è stata notificata la misura cautelare della custodia domiciliare. All’ex dipendente si contesta l’accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali, al secondo il reato di depistaggio”.

Leonardo-Finmeccanica, chi sono (e cosa hanno fatto secondo i pm) i due arrestati

L’ATTACCO ALLO STABILIMENTO DI LEONARDO A POMIGLIANO D’ARCO

Nel gennaio 2017 la struttura di cyber security di Leonardo ha segnalato un traffico di rete anomalo in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano d’Arco, generato da un software artefatto denominato “cftmon.exe”, sconosciuto ai sistemi antivirus aziendali. Il traffico anomalo risultava diretto verso una pagina web denominata “www.fujinama.altervista.org”, di cui è stato richiesto e disposto, ed oggi eseguito, il sequestro preventivo.

LA DENUNCIA DI LEONARDO

Secondo la prima denuncia di Leonardo, l’anomalia informatica sarebbe stata circoscritta ad un numero ristretto di postazioni e connotata da un’esfiltrazione di dati ritenuta non significativa. Le successive indagini hanno ricostruito uno scenario ben più esteso e severo.

Leonardo-Finmeccanica, chi sono (e cosa hanno fatto secondo i pm) i due arrestati

CHE COSA HANNO SCOPERTO LE INDAGINI SUI DIPENDENTI DI LEONARDO, TRA CUI IL CAPO DEL CERT

Dalle indagini è infatti emerso che per quasi due anni, tra maggio 2015 e gennaio 2017, le strutture informatiche di Leonardo erano state colpite da un attacco informatico mirato e persistente, noto come Advanced persistent threat o Apt, poiché realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo. L’attacco sarebbe stato condotto da un addetto alla gestione della sicurezza informatica della stessa Leonardo, nei confronti del quale il gip di Napoli ha disposto la custodia cautelare in carcere.

IL SOFTWARE MALEVOLO CONTRO LEONARDO

Il software malevolo si comportava come un vero e proprio trojan di nuova ingegnerizzazione, inoculato mediante l’inserimento di chiavette usb nei pc spiati, e permetteva di intercettare quanto digitato sulla tastiera delle postazioni infettate e catturare i fotogrammi di ciò che risultava visualizzato sugli schermi.

LA RICOSTRUZIONE DELLA POLIZIA

L’attacco informatico, secondo la ricostruzione operata dalla Polizia delle Comunicazioni, è classificato come estremamente grave in quanto la superficie dell’attacco ha interessato ben 94 postazioni di lavoro, delle quali 33 collocate presso lo stabilimento aziendale di Pomigliano d’Arco.

Leonardo-Finmeccanica, chi sono (e cosa hanno fatto secondo i pm) i due arrestati

CHI HA COLPITO IL TROJAN

Su tali postazioni erano configurati molteplici profili utente in uso a dipendenti, anche con mansioni dirigenziali, impegnati in attività d’impresa volta alla produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del Paese.

CHE COSA E’ STATO SOTTRATTO A LEONARDO, NELLO STABILIMENTO DI POMIGLIANO D’ARCO

In totale risultano sottratti, dalle 33 macchine bersaglio di Pomigliano d’Arco, 10 giga di dati, pari a circa 100mila files, riguardanti la gestione amministrativo-contabile, l’impiego delle risorse umane, l’approvvigionamento e la distribuzione dei beni strumentali, nonché la progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale.

INFETTATE ANCHE POSTAZIONI DI ALCATEL

Oltre alle postazioni informatiche dello stabilimento di Pomigliano d’Arco sono state infettate 13 postazioni di una società del gruppo Alcatel, alle quali se ne sono aggiunte altre 48, in uso a soggetti privati nonché ad aziende operanti nel settore della produzione aerospaziale.

Leonardo-Finmeccanica, chi sono (e cosa hanno fatto secondo i pm) i due arrestati

IL DEPISTAGGIO DEL RESPONSABILE CERT DI LEONARDO

Da ulteriori approfondimenti è emersa l’attività di depistaggio da parte del responsabile del Cert di Leonardo, nei confronti del quale è stata applicata la misura cautelare degli arresti domiciliari, in quanto – scrive l’Adn Kronos – avrebbe dato una rappresentazione falsa e fuorviante della natura e degli effetti dell’attacco informatico in modo da ostacolare le indagini.

LA NOTA DI LEONARDO

Leonardo in una nota alla stampa sottolinea che “l’inchiesta è scaturita da una denuncia presentata dalla stessa sicurezza aziendale alla quale ne hanno poi fatto seguito altre. Le misure riguardano un ex collaboratore non dipendente di Leonardo e un dipendente, non dirigente, della società. L’Azienda, ovviamente parte lesa in questa vicenda, ha fornito fin dall’inizio e continuerà a fornire la massima collaborazione agli inquirenti per fare chiarezza sull’accaduto e a propria tutela. Si precisa infine che dati classificati ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano”.

Leonardo-Finmeccanica, chi sono (e cosa hanno fatto secondo i pm) i due arrestati

Articoli correlati

DI Chiara Rossi

Cosa farà Leonardo per la Nigeria

La Nigeria conferma la consegna del primo lotto di aerei da addestramento avanzato e da ...

DI Chiara Rossi

Cosa farà Officina Stellare per Leonardo

La società vicentina attiva nella space economy ha siglato un nuovo contratto con Leonardo per ...

DI Giuseppe Liturri

Giavazzi scopre che il debito pubblico è buono, ma solo quello europeo. Gulp

Sorprendente commento dell'economista Giavazzi sul Corriere della sera: sostiene di fatto che è cosa buona ...

DI Maria Scopece

Forza Draghi, anzi no: abbasso Draghi. Girotondo di opinioni

Il discorso di Draghi analizzato da economisti, politologi, editorialisti e direttori di giornali