(AICIS) Potrebbe passare per una notizia tra le tante, invece è un fatto di estrema gravità visti gl’interessi in gioco: per quasi due anni è stata spiata la produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del Paese di Leonardo (Finmeccanica) compresi i progetti di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale. Sotto Cyber attacco lo stabilimento Leonardo di Pomigliano d’Arco (Napoli).

Non è stato facile da parte del Gruppo di lavoro sul cybercrime della Procura di Napoli venire a capo di un’indagine su questo caso di hackeraggio, culminate oggi nell’esecuzione di due ordinanze di custodia cautelare, nei confronti rispettivamente di un ex dipendente dell’azienda, indagato per accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali e nei confronti del responsabile del Cert (Cyber emergency readiness team) di Leonardo spa, niente di meno che l’organismo deputato alla gestione degli attacchi informatici subiti dall’azienda, indagato per depistaggio.

Il primo segnale anomalo era stato riscontrato all’inizio del 2017, allorquando la struttura di cyber security di Leonardo aveva segnalato un traffico di rete anomalo in uscita da alcune postazioni di lavoro dello stabilimento, generato da un software artefatto denominato “cftmon.exe”, sconosciuto ai sistemi antivirus aziendali. Il traffico anomalo risultava diretto verso una pagina web denominata “www.fujinama.altervista.org”. Secondo i primi riscontri sembrava trattarsi di un’anomalia poco significativa. Poi, le successive indagini hanno ricostruito uno scenario ben più inquietante: per quasi due anni, tra maggio 2015 e gennaio 2017, le strutture informatiche di Leonardo erano sotto attacco informatico mirato e persistente, noto come Advanced persistent threat (l’acronimo è Apt), realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo in sostanza un trojan di nuova ingegnerizzazione. La persona arrestata era un addetto alla gestione della sicurezza informatica della stessa Leonardo.

Il software installato con chiavette usb nei pc spiati, permetteva di intercettare tutti i testi digitati sulla tastiera dei 94 computer controllati e di catturare i fotogrammi di ciò che risultava visualizzato sugli schermi. 

Per quanto si è potuto appurare risultano sottratti, solo dalle 33 macchine bersaglio di Pomigliano d’Arco, 10 giga di dati, pari a circa 100mila files, riguardanti la gestione amministrativo-contabile, l’impiego delle risorse umane, l’approvvigionamento e la distribuzione dei beni strumentali, nonché la progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale. Altre 13 macchine infettate sono di una società del gruppo Alcatel, alle quali se ne aggiungono altre 48, in uso a soggetti privati nonché ad aziende operanti nel settore della produzione aerospaziale.

La seconda persona arrestata, nella sua qualità di responsabile del Cert di Leonardo, di aver fornito una rappresentazione falsa e fuorviante della natura e degli effetti dell’attacco informatico in modo da ostacolare le indagini.

Pare che il dipendente arrestato, fosse riuscito anche a colpire, con un attacco informatico, una base Nato americana sul territorio italiano. E, addirittura, avrebbe citato tale cyber attacco – per il quale era stato già condannato – nel proprio curriculum depositato all’atto dell’assunzione a Leonardo. Per gli investigatori, l’attività di hackeraggio, anche se realizzata dall’interno dello stabilimento, può essere comunque classificata come una minaccia da cyberwar o, comunque, un’azione di alto spionaggio.

AICIS