Per due anni un dipendente di Leonardo ha rubato segreti militari

AGI – Non è un attacco hacker qualunque. Perché non è un'azienda qualunque e perché le persone coinvolte non sono ignote figure che agivano protette dall'anonimato della rete. I protagonisti di una vicenda che ricorda tanto una serie tv come 'Robot' e le più intriganti sceneggiature di spy story sono l'azienda produttrice di armamenti più importante d'Italia (e tra le più importanti del mondo) e due suoi dipendenti: un ex responsabile proprio della cybersecurity e un dirigente. Sono stati arrestati con l'accusa di aver sottratto giga s giga di dati alla divisione aerostrutture e velivoli di Leonardo Spa e di aver poi nascosto la gravità dei fatti.

Le accuse formali non rendono la reale portata del caso: accesso abusivo al sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali sono le ipotesi di reato formulate per l'ex dipendente, ora in carcere; mentre per il dirigente, ai domiciliari, quella di depistaggio.

L'indagine è nata da un episodio del gennaio 2017, quando la struttura di cybersecurity di Leonardo Spa ha segnalato un traffico di rete anomalo in uscita da postazioni di lavoro dello stabilimento di Pomigliano d'Arco generato da un software sconosciuto ai sistemi antivirus Aziendali: cftmon.exe. Il traffico era diretto alla pagina web www.fuijamaaltervista.org per la quale oggi è stato disposto il sequestro preventivo.

La denuncia dell'azienda era circoscritta aun numero ristretto di postazioni e segnalava una esfiltrazione di dati non ritenuta significativa, sottolinea una nota della procura diretta da Giovanni Melillo. Ma le indagini della Polizia Postale hanno ricostruito uno scenario più complesso.

Per quasi due anni, secondo gli inquirenti, tra maggio 2011 e gennaio 2017, le strutture informatiche di Leonardo spa sono state colpite da un attacco mirato e persistente, realizzato con l'installazione nei sistemi, nelle reti e nelle macchine bersaglio di un malware che doveva creare e mantenere canali di comunicazione idonei a portare via in maniera telematica e silente grandi quantitativi di dati e informazioni classificate come di rilevante valore aziendale.

Secondo i pm napoletani l'attacco è stato condotto proprio da un ex addetto alla gestione della sicurezza informatica della stessa azienda, Arturo D'Elia, arrestato. Usando una banalissima chiavetta usb, l'ex dipendente avrebbe inoculato un trojan nei pc spiati in modo che la funzione di spia si attivasse automaticamente a ogni apertura del sistema operativo. Non un evento isolato: nel tempo avrebbe anche installato versioni più evolute del malware.

I dati carpiti da ben 94 le postazioni di lavoro oggetto dell'attacco, delle quali 33 erano proprio a Pomigliano D'Arco, venivano scarticati sul sito www.fuijamaaltervista.org. Si tratta di postazioni in uso a dipendenti anche con mansioni dirigenziali impegnati nella produzione di beni e servizi strategici per la sicurezza e la difesa del Paese.

Complessivamente sono stati esfiltrati dati per 10 giga cioè circa 100.000 file, di gestione amministrativo-contabile, impiego risorse umane, di approvvigionamento e distribuzione di beni strumentali, nonché progettazioni di componenti aeromobili civili e velivoli militari destinati al mercato italiano e internazionale. Captate anche credenziali di accesso a informazioni personali dei dipendenti della Leonardo spa.

Infettate anche 13 postazioni del gruppo Alcatel e 48 in uso a privati o aziende operanti nel settore della produzione aerospaziale. L'autore materiale dell'attacco attualmente è impiegato in un'altra società nel settore dell'elettronica informatica. Il responsabile del cyberemergency team di Leonardo spa Antimo Rossi è ai domiciliari perché ha dato una rappresentazione dei fatti fuorviante della natura degli degli effetti della attacco informatico ostacolando le indagini.