ITALIA
Tra maggio 2015 e gennaio 2017
Cyber attacco a Leonardo. Misure cautelari per due persone legate all'azienda
L'azienda precisa: siamo parte lesa, da noi partita la denuncia contro collaboratore e dipendente. Nessuna compromissione di dati sensibili
Attraverso un trojan di nuova ingegnerizzazione, inoculato nei computer attraverso chiavi Usb, per quasi due anni, tra maggio 2015 e gennaio 2017, hanno trafugato 10 gigabyte di dati e informazioni classificate di rilevante valore aziendale. E' quanto recita la notizia relativa all'attacco hacker su cui indaga la Procura di Napoli.
Sulle postazioni prese di mira dagli hacker erano configurati i profili utente di molti dipendenti, alcuni con mansioni dirigenziali, impegnati in attività d'impresa volta alla produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del paese come progetti per sistemi elettronici dei velivoli militari.
Nel gennaio 2017 la struttura di cyber security di Leonardo aveva segnalato un traffico di rete anomalo, in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano D’Arco, generato da un software artefatto denominato “cftmon.exe”, sconosciuto ai sistemi antivirus aziendali. Il traffico anomalo risultava diretto verso una pagina web denominata“www.fujinama.altervista.org”, di cui è stato richiesto e disposto, ed oggi eseguito, il sequestro preventivo.
Secondo la prima denuncia di Leonardo, l’anomalia informatica sarebbe stata circoscritta ad un numero ristretto di postazioni e connotata da un’esfiltrazione di dati ritenuta non significativa. Le successive indagini hanno ricostruito uno scenario ben più esteso e severo.
Infatti, le indagini hanno evidenziato che, per quasi due anni (tra maggio 2015 e gennaio 2017), le strutture informatiche di Leonardo erano state colpite da un attacco informatico mirato e persistente (noto come Advanced Persistent Threat o APT), poiché realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo finalizzato alla creazione ed il mantenimento di attivi canali di comunicazione idonei a consentire l’esfiltrazione silente di rilevanti quantitativi di dati e informazioni classificati di rilevante valore aziendale.
Due misure cautelari sono state notificate a un ex dipendente e a un dirigente della Leonardo spa (azienda italiana attiva nei settori della difesa, dell'aerospazio e della sicurezza) ritenuti coinvolti in un grave attacco alle strutture informatiche ai danni della Divisione Aerostrutture e della Divisione Velivoli iniziato nel 2015.
Era riuscito addirittura a mettere a segno con successo un attacco informatico a una base nato americana che si trova sul territorio italiano, Arturo d'Elia, l'ex dipendente della Leonardo Spa arrestato per il quale oggi il gip da disposto il carcere. Un'azione per la quale andava così fiero da annotarla sul suo curriculum, senza però specificare che proprio per quel crimine informatico era stato condannato. Ciononostante lavorava per la sicurezza informatica di Leonardo Spa.
I destinatari delle misure cautelari sono l'ex addetto alla gestione della sicurezza informatica della Leonardo S.p.A., per il quale il gip da disposto il carcere e responsabile del C.E.R.T. (Cyber Emergency Readiness Team) di Leonardo s.p.a., organismo deputato alla gestione degli attacchi informatici subiti dall'azienda al quale è stata notificata la misura cautelare della custodia domiciliare.
All' ex dipendente si contesta l'accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali, al secondo il reato di depistaggio.
L'azienda: dati non compromessi, siamo parte lesa
Leonardo ha diffuso un comunicato in merito all'attacco hacker: "In merito agli odierni provvedimenti adottati dalla magistratura di Napoli, Leonardo rende noto che l’inchiesta è scaturita da una denuncia presentata dalla stessa sicurezza aziendale alla quale ne hanno poi fatto seguito altre. Le misure riguardano un ex collaboratore non dipendente di Leonardo e un dipendente, non dirigente, della società. L’Azienda, ovviamente parte lesa in questa vicenda, ha fornito fin dall’inizio e continuerà a fornire la massima collaborazione agli inquirenti per fare chiarezza sull’accaduto e a propria tutela. Si precisa infine che dati classificati ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano".
Sulle postazioni prese di mira dagli hacker erano configurati i profili utente di molti dipendenti, alcuni con mansioni dirigenziali, impegnati in attività d'impresa volta alla produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del paese come progetti per sistemi elettronici dei velivoli militari.
Nel gennaio 2017 la struttura di cyber security di Leonardo aveva segnalato un traffico di rete anomalo, in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano D’Arco, generato da un software artefatto denominato “cftmon.exe”, sconosciuto ai sistemi antivirus aziendali. Il traffico anomalo risultava diretto verso una pagina web denominata“www.fujinama.altervista.org”, di cui è stato richiesto e disposto, ed oggi eseguito, il sequestro preventivo.
Secondo la prima denuncia di Leonardo, l’anomalia informatica sarebbe stata circoscritta ad un numero ristretto di postazioni e connotata da un’esfiltrazione di dati ritenuta non significativa. Le successive indagini hanno ricostruito uno scenario ben più esteso e severo.
Infatti, le indagini hanno evidenziato che, per quasi due anni (tra maggio 2015 e gennaio 2017), le strutture informatiche di Leonardo erano state colpite da un attacco informatico mirato e persistente (noto come Advanced Persistent Threat o APT), poiché realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo finalizzato alla creazione ed il mantenimento di attivi canali di comunicazione idonei a consentire l’esfiltrazione silente di rilevanti quantitativi di dati e informazioni classificati di rilevante valore aziendale.
Due misure cautelari sono state notificate a un ex dipendente e a un dirigente della Leonardo spa (azienda italiana attiva nei settori della difesa, dell'aerospazio e della sicurezza) ritenuti coinvolti in un grave attacco alle strutture informatiche ai danni della Divisione Aerostrutture e della Divisione Velivoli iniziato nel 2015.
Era riuscito addirittura a mettere a segno con successo un attacco informatico a una base nato americana che si trova sul territorio italiano, Arturo d'Elia, l'ex dipendente della Leonardo Spa arrestato per il quale oggi il gip da disposto il carcere. Un'azione per la quale andava così fiero da annotarla sul suo curriculum, senza però specificare che proprio per quel crimine informatico era stato condannato. Ciononostante lavorava per la sicurezza informatica di Leonardo Spa.
I destinatari delle misure cautelari sono l'ex addetto alla gestione della sicurezza informatica della Leonardo S.p.A., per il quale il gip da disposto il carcere e responsabile del C.E.R.T. (Cyber Emergency Readiness Team) di Leonardo s.p.a., organismo deputato alla gestione degli attacchi informatici subiti dall'azienda al quale è stata notificata la misura cautelare della custodia domiciliare.
All' ex dipendente si contesta l'accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali, al secondo il reato di depistaggio.
L'azienda: dati non compromessi, siamo parte lesa
Leonardo ha diffuso un comunicato in merito all'attacco hacker: "In merito agli odierni provvedimenti adottati dalla magistratura di Napoli, Leonardo rende noto che l’inchiesta è scaturita da una denuncia presentata dalla stessa sicurezza aziendale alla quale ne hanno poi fatto seguito altre. Le misure riguardano un ex collaboratore non dipendente di Leonardo e un dipendente, non dirigente, della società. L’Azienda, ovviamente parte lesa in questa vicenda, ha fornito fin dall’inizio e continuerà a fornire la massima collaborazione agli inquirenti per fare chiarezza sull’accaduto e a propria tutela. Si precisa infine che dati classificati ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano".