HACK ATTACK – ARRESTATI UN DIRIGENTE E UN DIPENDENTE DI “LEONARDO”: IL PRIMO È ACCUSATO DI DEPISTAGGIO, IL SECONDO SI CHIAMA ARTURO D’ELIA ED ERA RIUSCITO A REALIZZARE UN TROJAN E A RUBARE 10 GB DI INFORMAZIONI “TOP SECRET” – L’HACKERAGGIO È DURATO QUASI DUE ANNI, AVEVA COLPITO ANCHE UNA BASE NATO AMERICANA ED È STATO TALMENTE NOTEVOLE CHE D’ELIA L’HA INSERITO NEL PROPRIO CURRICULUM. IL TUTTO È AVVENUTO NELLO STABILIMENTO DI POMIGLIANO D'ARCO. A CHI VENDEVA QUESTI DATI? AI CINESI?
Felice Naddeo per www.corriere.it
Con un «cyber attacco» organizzato dall’interno dello stabilimento su numerosi computer aziendali, un dipendente-hacker della Leonardo di Pomigliano d’Arco - l’azienda che si occupa di sicurezza e aerospazio e ha il ministero dell’Economia quale principale azionista - si è impossessato per due anni di dati e progetti «top secret».
Alcuni dei quali, secondo la Procura di Napoli che ha coordinato le indagini, strategici per la difesa dell’Italia. L’hacker ha inserito in decine di computer un malware che trasferiva i dati a un server esterno.
GIUSEPPE CONTE ALLO STABILIMENTO LEONARDO DI POMIGLIANO
Scoperto grazie alle indagini del gruppo cybercrime della Procura di Napoli, è stato arrestato ed è indagato per accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali. In manette anche il responsabile del Cert (Cyber emergency readiness team) di Leonardo spa, organismo deputato alla gestione degli attacchi informatici subiti dall’azienda, accusato di depistaggio.
Colpita anche server militare degli americani
Arturo D’Elia, il dipendente arrestato, era riuscito anche a colpire, con un attacco informatico, una base Nato americana sul territorio italiano. E, addirittura, l’esperto informatico aveva inserito il cyber attacco - per il quale era stato già condannato - nel proprio curriculum.
Nonostante questo reato commesso, D’Elia lavorava per la sicurezza informatica di Leonardo spa. Per gli investigatori, l’attività di hackeraggio, anche se realizzata dall’interno dello stabilimento, può essere comunque classificata come una minaccia da cyberwar o, comunque, un’azione di alto spionaggio.
L’abilità di D’Elia è tale da essere riuscito a realizzare un trojan per trafugare dati difficile da individuare anche per i sistemi di sicurezza informatici di alto livello della Leonardo. Sistemi di sicurezza che sono, peraltro, tipici di un’azienda che si occupa di progetti finalizzati a sviluppare sistemi di sicurezza non solo per la difesa dell’Italia.
La prima falla nel sistema di sicurezza
La prima falla nella rete del sistema di sicurezza di Leonardo è venuta alla luce nel gennaio del 2017, quando la struttura interna di cyber security ha segnalato un traffico di rete anomalo in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano d’Arco. L’attacco era stato generato da un software artefatto denominato “cftmon.exe”, sconosciuto ai sistemi antivirus di Leonardo.
Il trojan inserito nei computer riusciva a trasferire i dati verso una pagina web poi sequestrata dagli inquirenti: “www.fujinama.altervista.org”. Dalla prima denuncia di Leonardo, il flusso anomalo di dati sarebbe stato poco significativo e circoscritto a un numero ristretto di postazioni.
Le indagini, invece, hanno verificato che l’attacco hacker era stato molto più esteso e significativo. Complessivamente sono stati sottratti, dalle 33 macchine bersaglio di Pomigliano d’Arco, 10 giga di dati, pari a circa 100mila files, riguardanti la gestione amministrativo-contabile, l’impiego delle risorse umane, l’approvvigionamento e la distribuzione dei beni strumentali, nonché la progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale.
luigi di maio con profumo e de gennaro alla leonardo di pomigliano
Hackeraggio per due anni
L’hackeraggio è durato quasi due anni, tra maggio 2015 e gennaio 2017, con un attacco informatico mirato e persistente, conosciuto come «Advanced persistent threat» o «Apt», poiché realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un malware. Il software era stato inserito nei computer attraverso chiavette usb.
E permetteva di intercettare quanto digitato sulla tastiera delle postazioni infettate e catturare i fotogrammi di ciò che risultava visualizzato sugli schermi.
L’attacco informatico, secondo la ricostruzione operata dalla Polizia delle Comunicazioni, è classificato come estremamente grave in quanto la superficie dell’hackeraggio ha interessato 94 postazioni di lavoro del gruppo industriale, delle quali 33 collocate presso lo stabilimento aziendale di Pomigliano d’Arco. Su tali postazioni erano configurati molteplici profili utente in uso a dipendenti, anche con mansioni dirigenziali, impegnati in attività d’impresa volta alla produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del Paese.
Nel mirino anche società del gruppo Alcatel
Oltre alle postazioni informatiche dello stabilimento di Pomigliano d’Arco sono state infettate 13 postazioni di una società del gruppo Alcatel, alle quali se ne sono aggiunte altre 48, in uso a soggetti privati nonché ad aziende operanti nel settore della produzione aerospaziale. Da ulteriori approfondimenti è emersa l’attività di depistaggio da parte del responsabile del Cert di Leonardo, arrestato e posto ai domiciliari, che avrebbe dato una rappresentazione falsa e fuorviante della natura e degli effetti dell’attacco informatico per ostacolare le indagini.
