Cyber attacco allo stabilimento Leonardo, dove per quasi due anni, è stata spiata la produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del Paese tra cui i progetti di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale.
L'hacker, scoperto grazie a complesse indagini del Gruppo di lavoro sul cybercrime della Procura di Napoli, culminate oggi nell'esecuzione di due ordinanze di custodia cautelare, si è impossessato di dati aziendali attraverso l'uso di un malware inserito nei Pc in decine di postazioni di lavoro nello stabilimento Leonardo di Pomigliano d'Arco nel napoletano.
Le ordinanze di custodia cautelare sono state emesse nei confronti di un ex dipendente di Leonardo, indagato per accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali; la seconda nei confronti del responsabile del Cert (Cyber emergency readiness team) di Leonardo spa, organismo deputato alla gestione degli attacchi informatici subiti dall'azienda, indagato per depistaggio.
Nel gennaio 2017 la struttura di cyber security di Leonardo ha segnalato un traffico di rete anomalo in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano d’Arco, generato da un software artefatto, denominato "cftmon.exe", sconosciuto ai sistemi antivirus aziendali. Il traffico anomalo risultava diretto verso una pagina web denominata "www.fujinama.altervista.org", di cui è stato richiesto e disposto, ed oggi eseguito, il sequestro preventivo.
Secondo la prima denuncia di Leonardo, l’anomalia informatica sarebbe stata circoscritta ad un numero ristretto di postazioni e connotata da un’esfiltrazione di dati ritenuta non significativa. Le successive indagini hanno ricostruito uno scenario ben più esteso e severo.
Dalle indagini è infatti emerso che per quasi due anni, tra maggio 2015 e gennaio 2017, le strutture informatiche di Leonardo erano state colpite da un attacco informatico mirato e persistente, noto come Advanced persistent threat o Apt, poiché realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo. L'attacco sarebbe stato condotto da un addetto alla gestione della sicurezza informatica della stessa Leonardo, nei confronti del quale il gip di Napoli ha disposto la custodia cautelare in carcere.
Il software malevolo si comportava come un vero e proprio trojan di nuova ingegnerizzazione, inoculato mediante l’inserimento di chiavette usb nei pc spiati, e permetteva di intercettare quanto digitato sulla tastiera delle postazioni infettate e catturare i fotogrammi di ciò che risultava visualizzato sugli schermi.
L'attacco informatico, secondo la ricostruzione operata dalla Polizia delle Comunicazioni, è classificato come estremamente grave in quanto la superficie dell'attacco ha interessato ben 94 postazioni di lavoro, delle quali 33 collocate presso lo stabilimento aziendale di Pomigliano d’Arco. Su tali postazioni erano configurati molteplici profili utente in uso a dipendenti, anche con mansioni dirigenziali, impegnati in attività d’impresa volta alla produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del Paese.
In totale risultano sottratti, dalle 33 macchine bersaglio di Pomigliano d'Arco, 10 giga di dati, pari a circa 100mila files, riguardanti la gestione amministrativo-contabile, l'impiego delle risorse umane, l'approvvigionamento e la distribuzione dei beni strumentali, nonché la progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale. Oltre alle postazioni informatiche dello stabilimento di Pomigliano d’Arco sono state infettate 13 postazioni di una società del gruppo Alcatel, alle quali se ne sono aggiunte altre 48, in uso a soggetti privati nonché ad aziende operanti nel settore della produzione aerospaziale.
Da ulteriori approfondimenti è emersa l'attività di depistaggio da parte del responsabile del Cert di Leonardo, nei confronti del quale è stata applicata la misura cautelare degli arresti domiciliari, in quanto avrebbe dato una rappresentazione falsa e fuorviante della natura e degli effetti dell'attacco informatico in modo da ostacolare le indagini.
Ma il gruppo Leonardo in una nota ribadisce che "l’inchiesta è scaturita da una denuncia presentata dalla stessa sicurezza aziendale alla quale ne hanno poi fatto seguito altre. Le misure riguardano un ex collaboratore non dipendente di Leonardo e un dipendente, non dirigente, della società. L’Azienda, ovviamente parte lesa in questa vicenda - precisa la nota - ha fornito fin dall’inizio e continuerà a fornire la massima collaborazione agli inquirenti per fare chiarezza sull’accaduto e a propria tutela". E chiarisce "che dati classificati ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano".
