Dieci gigabyte di dati e informazioni di rilevante valore aziendale rubati. Sottratti all’azienda italiana attiva nei settori della difesa, dell’aerospazio e della sicurezza, allo scopo forse di rivenderli.
E’ una storia di cyber cryme ai danni della Leonardo di Pomigliano d’Arco quella sulla quale ha lavorato la procura della Repubblica di Napoli che ha chiesto ed ottenuto dal giudice per le indagini preliminari Roberto D’Auria della decima sezione penale del Tribunale di Napoli l’arresto di due persone: in carcere è finito Arturo D’Elia (di Eboli), ex dipendente della nota azienda, che prima di essere messo alla porta si occupava di gestione, configurazione e manutenzione delle postazioni di lavoro, e che attualmente lavora presso un’altra società operante nel settore dell’elettronica informatica; i domiciliari, invece, sono stati disposti per Antonio Rossi (di Pontinia, in provincia di Latina), dipendente della Leonardo e responsabile dell’Unità Operativa Cyber Emergency Response Team (struttura di sicurezza di secondo livello con sede a Roma deputata alle crisi informatiche).
D’Elia – che in passato ha lavorato al progetto Sicote dell’Arma dei Carabinieri (software per il controllo del territorio e il supporto alle indagini, inizialmente concepito in funzione anti-terrorismo) è accusato di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali; Rossi invece deve fare i conti con l’accusa di depistaggio perché si si sarebbe macchiato di «insidiose e reiterate attività di inquinamento probatorio, finalizzate a dare una rappresentazione falsa e fuorviante della natura e degli effetti dell’attacco informatico e ad ostacolare le indagini». Disposto anche il sequestro preventivo delle attrezzature informatiche in possesso di D’Elia nonché del sito www.fujinama.altervista.org attorno al quale ruotava il traffico di dati rubati alla Leonardo.
La sottrazione è andata avanti per due anni (tra maggio 2015 e gennaio 2017) e ha interessato 10 Giga di dati, pari a circa 100.000 files, afferenti alla gestione amministrativo/contabile, all’impiego delle risorse umane, all’approvvigionamento e alla distribuzione dei beni strumentali, nonché alla progettazione di componenti di aeromobili civili e di velivoli militaridestinati al mercato interno e internazionale. L’hacker ha spiato 33 postazioni collocate nel perimetro aziendale della Leonardo, presso il sito di Pomigliano, ove insistono alcune delle sedi della Divisione Aerostrutture e della Divisione Velivoli. Accanto ai dati aziendali, sono state oggetto di captazione anche le credenziali di accesso ed altre informazioni personali dei dipendenti della Leonardo. Non solo: sono state infettate anche 13 postazioni di una società collegata al gruppo Alcatel, alle quali se ne sono aggiunte altre 48, in uso a soggetti privati nonché ad aziende operanti nel settore della produzione aerospaziale. Complessivamente sono state infettata 94 postazioni. Il furto, tuttavia, non avrebbe interessato dati ‘strategici’: in una nota la Leonardo ha precisato che «i dati classificati, ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano».
Ad ogni modo quanto accaduto è stato un attacco hacker grave, di cui la Leonardo si è accorta nel gennaio 2017: quattro anni fa la cyber security dell’azienda – nel corso di un’analisi a campione dei logs relativi alla rete informatica – nota un traffico di rete anomalo, in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano D’Arco, generato da un software artefatto denominato “cftmon.exe”, sconosciuto ai sistemi antivirusaziendali. E nota, ancora, che traffico anomalo risulta diretto verso una pagina webdenominata “www.fujinama.altervista.org”. Il lavoro investigativo tocca agli uomini del C.N.A.I.P.I.C. (diretto da Ivano Gabrielli) del Servizio Centrale della Polizia Postale e delle comunicazioni (diretto da Nunzia Ciardi) e del Compartimento campano dello stesso servizio, che, coordinati dai pm Mariasofia Cozza e Claudio Orazio Onorati in forza alla sezione guidata dal procuratore aggiunto Vincenzo Piscitelli, riescono a ricostruire la mappa dell’attacco. E non è un lavoro semplice: D’Elia – annotano gli inquirenti – dopo avere scaricato i dati carpiti cancellava da remoto ogni traccia sulle macchine compromesse. Nonostante quest’abilità, gli 007 del Web riescono a stanarlo.
Viene così fuori che l’attacco informatico, mirato e persistente, era stato realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo finalizzato alla creazione ed il mantenimento di attivi canali di comunicazione idonei a consentire l’esfiltrazione silente di rilevanti quantitativi di dati e informazioni classificati di rilevante valore aziendale. Il software malevolo si comportava come un vero e proprio trojan di nuova ingegnerizzazione, inoculato mediante l’inserimento di chiavette USB nei PC spiati, in grado così di avviarsi automaticamente ad ogni esecuzione del sistema operativo. In tal modo l’hacker poteva intercettare quanto digitato sulla tastiera delle postazioni infettate e catturare i fotogrammi di ciò che risultava visualizzato sugli schermi (screen capturing): la cattura dei fotogrammi avveniva ad intervalli regolari di circa un minuto. I dati carpiti venivano poi inviati verso un centro di comando e controllo (C&C), corrispondente allo spazio web nella disponibilità dell’hacker.
Scenario complesso, che gli investigatori sono riusciti a ricostruire nonostante il tentativo di depistaggio messo in atto da Antonio Rossi: ascoltato nella fase delle indagini, il responsabile dell’organismo di Cyber Emergency Response Team ha provato prima a sminuire la portata dell’attacco, sostenendo che esso aveva riguardato appena 16 postazioni e che si era verificato a partire dal 2017; poi ha provato a tacere la natura dei dati rubati. Infine ha fatto sparire un computer contenente i dati dell’attacco informatico, circostanza accertata nel gennaio 2019.
domenica, 6 Dicembre 2020 - 02:27
© RIPRODUZIONE RISERVATA
