Dettaglio news
Hacking interno a Leonardo: arresti per accesso abusivo a sistema informatico e trattamenti illecito di dati


mercoledì 9 dicembre 2020
di s-mart.biz



La faccenda travalica il confine della mera compliance al GDPR, travalica i confini dell'azienda stessa e si pone direttamente nel piano della sicurezza nazionale: l'attacco interno subito dalle strutture informatiche della Divisione Aerostrutture e della Divisione Velivoli di Leonardo S.p.A ha messo a rischio leak segreti di Stato, progetti bellici e di sviluppo militare e aereospaziale.

Le indagini del gruppo Cybercrime della Procura di Napoli, del Cnaipic della Polizia Postale e del nucleo locale della stessa hanno portato all'arresto di un ex dipendente e di un dirigente della società: le accuse sono gravissime, dall'accesso abusivo a sistema informatico all'intercettazione illecita di comunicazioni telematiche passando, ovviamente, dal trattamento illecito di dati personali. L'aggravante del depistaggio è la "ciliegina sulla torta" del grave quadro accusatorio rivolto contro i due indiziati.

La vicenda
Nel Gennaio 2017 il team di cyber security di Leonardo S.p.A intercettava e segnalava traffico di rete anomalo in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano d'Arco: il traffico era generato da un software chiamato "cftmon.exe", non riconosciuto dal sistemi antivirus aziendali, ed era indirizzato verso una pagina web chiamata “www.fujinama.altervista.org” (che ad oggi risulta sotto sequestro).

In prima denuncia Leonardo S.p.a segnalava quindi una anomalia, ma circoscritta così pareva, a poche postazioni e risultante in una esfiltrazione di dati così limitata da essere ritenuta non significativa. Sono state poi le successive indagini a mettere a nudo un complesso sistema di quello che potrebbe essere, a ben vedere, anche un atto di spionaggio industriale o internazionale. Le indagini hanno indicato infatti come l'esfiltrazione dei dati sia durata per ben due anni, dal Maggio 2015 al Gennaio 2017. Insomma, non un evento limitato nel tempo, ma quello che in gergo tecnico viene definito APT - Advanced Persistent Threat cioè un attacco realizzato con codice installato sui sistemi così da garantire canali di comunicazione persistenti e idonei al furto dei dati continuativo.

L'attacco, sospettano gli inquirenti, pare essere stato condotto dall'addetto alla sicurezza informatica della stessa Leonardo S.p.A, infettando i sistemi con il software dannoso tramite USB. L'analisi del software "cftmon.exe" ha portato a scoprirne un funzionamento molto simile a quello dei trojan, con capacità non solo i furto dati, ma anche di keylogging (ovvero intercettazioni delle battiture sulla tastiera) e screen caputiring (screenshot dello schermo). Pare addirittura che il tecnico, sfruttando le prerogative della propria posizione lavorativa, abbia provveduto perfino a mantenere aggiornato e ad eseguire gli upgrade del proprio malware, sostituendolo sulle macchine infette così da ottenere una capacità di controllo e effetti sempre più invasivi ed efficaci.

L'attacco informatico, per quanto ricostruito ad ora dalle indagini, è stato etichettato come "critico" non solo per la sensiblità dei dati sottratti, ma anche per la superficie di attacco: sono state rivenute nel corso delle analisi forensi ben 94 postazioni infette, 33 delle quali collocate a Pomigliano D'Arco, mentre le altre esterne. Alcune postazioni avevano implementati profili utenti in uso a dipendenti anche con mansioni dirigenziali e impegnati in attività e progetti a carattere strategico non solo per l'azienda, ma anche per la sicurezza e difesa dell'Italia. Ad ora si è ricostruito che dai 33 computer infetti di Pomigliano sono stati esfiltrati 10 giga di dati circa, equivalenti a circa 100.000 file riferiti all'ambito amministrativo e contabile, alle risorse umane, alla distribuzione e appprovvigionamento di beni, nonchè alla progettazione di velivoli civili e militari.

Ovviamente sono state violate tutte le credenziali di accesso e le informazioni personali dei dipendenti Leonardo e non solo: 13 delle postazioni infette infatti appartengono a soggetti terzi (Alcatel) e 48 sono in uso a privati e altri soggetti impegnati nel settore aereospaziale. Infine, ulteriori indagini hanno permesso di raccogliere indizi di colpevolezza tali da reggere un quaro accusatorio anche contro il reponsabile del Cyber Emergency Readiness Team di Leonardo S.P.A, finito in arresto con l'accusa di depistaggio.

Non resta che attendere l'avvio e l'esito del processo penale per ricostruire con certezza gli eventi e vedere condannati i responsabili, ma il dubbio ruota intorno anche a Leonardo S.p.A: la posizione dell'azienda infatti dovrà essere valutata poichè, anche se non v'è alcun dubbio che l'azienda sia parte offesa, andranno verificate eventuali omissioni o insufficienze di controlli. Fatto che può far pensare ad una eventuale chiamata in responsabilità anche di Leonardo nel caso in cui vegano confermate le parole della stessa Procura, che segnala “anomalie nelle procedure di gestione e nei meccanismi di risoluzione che pongono interrogativi sulle strategie e sull’efficacia dedelle azioni adottate”.




CONDIVIDI QUESTA PAGINA!