Un colpo dall’interno che ha portato all’arresto di un dirigente e un ex dipendente. Trafugati 10 gigabyte di dati e informazioni di rilevante valore aziendale. Si teme lavorassero per 007 esteri
Un cyber attacco a Leonardo è qualcosa che fa tremare le vene ai polsi ai più alti rappresentati delle istituzioni di questo Paese, perché Leonardo non è un’azienda qualunque e non si sta limitando a inaugurare a Genova uno dei computer più potenti al mondo, ma è soprattutto uno dei cardini della nostra Difesa, fiore all’occhiello dell’industria aerospaziale europea. Eppure, sorprendentemente, l’opera criminale è andata avanti dall’interno per ben 2 anni e ha permesso di trafugare bypassando i firewall (proprio perché avvenuto dall’interno della stessa Leonardo) 100.000 file di gestione amministrativa-contabile ma, soprattutto, progettazioni di componenti aeromobili civili e velivoli militari destinati al mercato italiano e internazionale. Un danno gravissimo anche per l’immagine della società e forse proprio per questo la notizia è stata data soltanto oggi, a Borse chiuse.
Una delle sale di controllo di Leonardo
Come è stato possibile il furto di dati a Leonardo
Da quanto è dato sapere, l’indagine è stata aperta sulla base di una anomalia riscontrata nel gennaio 2017: un inusuale – e dunque sospetto – traffico di rete in uscita da postazioni di lavoro dello stabilimento di Pomigliano d’Arco generato da un software sconosciuto ai sistemi antivirus: cftmon.exe. Il traffico era diretto alla pagina web www.fuijamaaltervista.org per la quale oggi è stato disposto il sequestro preventivo. Secondo gli inquirenti, che sempre oggi hanno posto agli arresti un ex dipendente e un dirigente, tra maggio 2015 e gennaio 2017, le strutture informatiche di Leonardo S.p.A. sono state colpite da attacchi hacker mirati e persistenti, realizzati con l’installazione nei sistemi del Gruppo un malware che doveva creare e mantenere aperti canali di comunicazione idonei a portare via in maniera telematica e silente grandi quantitativi di dati e informazioni classificate come di rilevante valore aziendale.
I tanti paradossi della vicenda: la fragilità di Leonardo e non solo
Sorprende che un’azienda tanto importante e scudata dagli attacchi verso l’esterno si sia rivelata così esposta all’operato di dipendenti infedeli. Secondo i pm napoletani Mariasofia Cozza e Claudio Orazio Onorati, coordinati dall’aggiunto Vincenzo Piscitelli, l’attacco è stato condotto proprio da un ex addetto alla gestione della sicurezza informatica della stessa azienda usando una banalissima chiavetta usb. Il dipendente, che peraltro in passato aveva già condotto attacchi a siti istituzionali statunitensi per i quali era stato condannato e che erano persino inseriti, a titolo di expertise, nel proprio curriculum vitae professionale, si sarebbe cautelato installando, col passare degli anni, versioni più evolute del malware. Agli arresti anche un dirigente che lo avrebbe coperto aiutandolo a cancellare ogni prova del suo passaggio. E adesso bisognerà capire cosa è stato fatto di quelle informazioni: se sono state rivendute nel deep web o, peggio, a 007 stranieri o a cellule eversive che potrebbero avere interesse a colpire la sicurezza nazionale.
Cyberattacco a Leonardo, la replica dell’azienda
Da parte sua in serata col diffondersi sulle agenzie di stampa della notizia la Compagnia ha provato a tranquillizzare gli investitori e il Paese evidenziando che la segnalazione sia partita dalla stessa Leonardo che, dunque, era consapevole del cyber attacco ai suoi danni: “In merito agli odierni provvedimenti adottati dalla magistratura di Napoli, Leonardo rende noto che l’inchiesta è scaturita da una denuncia presentata dalla stessa sicurezza aziendale alla quale ne hanno poi fatto seguito altre. Le misure riguardano un ex collaboratore non dipendente di Leonardo e un dipendente, non dirigente, della società. L’Azienda, ovviamente parte lesa in questa vicenda, ha fornito fin dall’inizio e continuerà a fornire la massima collaborazione agli inquirenti per fare chiarezza sull’accaduto e a propria tutela. Si precisa infine che dati classificati ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano”.
Leggi anche: Coronavirus, una nuova opportunità per i criminali informatici