Attacco hacker a Leonardo Finmeccanica di Pomigliano, rubati 100mila file

Attacco hacker alla sede di Leonardo Finmeccanica di Pomigliano d'Arco, dove si sviluppano alte tecnologie per applicazioni aerospaziali, radar, ma si producono anche beni e servizi di carattere strategico per la sicurezza e la difesa del Paese. Rubati circa 100mila file, circa 10 gigabyte di dati, un'operazione cybercriminale che gli investigatori hanno scoperto, purtroppo essere andata avanti per diversi anni e che è stata per fortuna fermata.

Secondo la Procura di Napoli, nella vicenda sarebbero coinvolti un ex collaboratore, Arturo D'Elia, in passato addetto alla gestione della sicurezza informatica, per il quale il gip da disposto il carcere, e un dipendente, Antonio Rossi, responsabile del C.E.R.T. (Cyber Emergency Readiness Team) di Leonardo s.p.a., organismo deputato alla gestione degli attacchi informatici subiti dall'azienda al quale è stata notificata la misura cautelare della custodia domiciliare. I due sono gravemente indiziati, il primo, dei delitti di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali e, il secondo, del delitto di depistaggio.

Nel mirino degli hacker la Divisione Aerostrutture e la Divisione Velivoli di Leonardo. L'attacco, secondo gli inquirenti, sarebbe iniziato nel 2015. L'inchiesta è partita su denuncia della stessa società Leonardo, che nella vicenda è parte lesa. Indagine del Gruppo di lavoro sul cybercrime della Procura della Repubblica di Napoli, guidata dal procuratore Giovanni Melillo, delegata al C.N.A.I.P.I.C. del Servizio centrale della Polizia postale e delle comunicazioni e al Compartimento campano del medesimo servizio.

Leonardo: "Non sono a rischi dati strategici"

"In merito agli odierni provvedimenti adottati dalla magistratura di Napoli – Leonardo rende noto che – "l'inchiesta è scaturita da una denuncia presentata dalla stessa sicurezza aziendale alla quale ne hanno poi fatto seguito altre. Le misure riguardano un ex collaboratore non dipendente di Leonardo e un dipendente, non dirigente, della società. L'azienda, ovviamente parte lesa in questa vicenda, ha fornito fin dall'inizio e continuerà a fornire la massima collaborazione agli inquirenti per fare chiarezza sull'accaduto e a propria tutela. I dati classificati ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano".

Un trojan per controllare i computer

Attraverso un trojan di nuova ingegnerizzazione, inoculato nei computer attraverso delle pendrive Usb, per quasi due anni, tra maggio 2015 e gennaio 2017, gli hacker avrebbero trafugato 10 gigabyte di dati e informazioni classificati di rilevante valore aziendale. Secondo la prima denuncia di Leonardo S.p.A., l’anomalia informatica sarebbe stata circoscritta ad un numero ristretto di postazioni e connotata da un’esfiltrazione di dati ritenuta non significativa. Le successive indagini hanno ricostruito uno scenario ben più esteso e severo. Infatti, le indagini hanno evidenziato che, per quasi due anni (tra maggio 2015 e gennaio 2017), le strutture informatiche di Leonardo S.p.A. erano state colpite da un attacco informatico mirato e persistente (noto come Advanced Persistent Threat o APT), poiché realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo finalizzato alla creazione ed il mantenimento di attivi canali di comunicazione idonei a consentire l’esfiltrazione silente di rilevanti quantitativi di dati e informazioni classificati di rilevante valore aziendale.

Per la Procura si tratta di cyberwar

Secondo gli investigatori del C.n.a.i.p.i.c. del Servizio centrale della Polizia postale e delle comunicazioni e del Compartimento campano dello stesso servizio, l'attacco portato a termine dall'hacker, sebbene agevolato dal fatto che è stato compiuto dall'interno, può essere comunque classificato come una minaccia da cyberwar o, comunque, un'azione di alto spionaggio. D'Elia era riuscito a confezionare un trojan ad hoc per trafugare i dati, capace di essere quasi individuabile dai sistemi di sicurezza informatici di alto livello di Leonardo, tipici di una azienda che si occupa di progetti finalizzati a sviluppare sistemi di sicurezza non solo per la difesa dell'Italia.

Presi di mira dati strategici della Difesa nazionale

Sulle postazioni prese di mira dagli hacker erano configurati i profili utente di molti dipendenti, alcuni con mansioni dirigenziali, impegnati in attività d'impresa volta alla produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del Paese come progetti per sistemi elettronici dei velivoli militari. Gli hacker erano riusciti a inoculare il trojan su 94 postazioni di lavoro, delle quali 33 nello stabilimento aziendale di Pomigliano D'Arco. Dopo il download ogni traccia dell'incursione veniva cancellata. Gli hacker intercettavano quanto digitato sulla tastiera e gli schermi.

La gravità dell’incidente emerge anche dalla tipologia delle informazioni sottratte, tenuto conto che dalle 33 macchine bersaglio ubicate a Pomigliano d’Arco risultano, allo stato, esfiltrati 10 Giga di dati, pari a circa 100.000 files, afferenti alla gestione amministrativo/contabile, all’impiego delle risorse umane, all’approvvigionamento e alla distribuzione dei beni strumentali, nonché alla progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale.

Accanto ai dati aziendali, sono state oggetto di captazione anche le credenziali di accesso ed altre informazioni personali dei dipendenti della Leonardo. Oltre alle postazioni informatiche dello stabilimento di Pomigliano D’Arco, sono state infettate 13 postazioni di una società del gruppo Alcatel, alle quali se ne sono aggiunte altre 48, in uso a soggetti privati nonché ad aziende operanti nel settore della produzione aerospaziale.