Utilizzando un malware sconosciuto ai programmi antivirus dell'azienda e propagato tramite unità USB, un dipendente interno probabilmente insoddisfatto (inside hacker) ha ottenuto l'accesso a 99 computer presso le strutture del gruppo aerospaziale e di difesa italiano Leonardo e ha rubato oltre 100 gigabyte di dati tra maggio 2015 e gennaio 2017, secondo un Comunicato della polizia italiana rilasciato sabato.
L'intrusione alla fine è stata rilevata da Leonardo, che ha poi allertato la polizia, e le indagini hanno portato all'arresto la scorsa settimana di due persone, una ex e una attuale dipendente Leonardo.
Non è chiaro esattamente dove sia avvenuto l'hacking. Secondo alcuni resoconti 33 delle 94 postazioni infette si trovavano nello stabilimento Leonardo di Pomigliano d’Arco, vicino a Napoli, che fa parte della Divisione Aerei della compagnia. Nessuna informazione è stata rilasciata circa l'ubicazione delle altre 61 postazioni di lavoro.
Gli arresti "sono un duro colpo per Leonardo che, insieme alle sue attività aerospaziali, ha anche una grande divisione di cybersecurity che conta la NATO tra i suoi clienti", ha riferito Reuters da Roma il 5 dicembre. Ha aggiunto che l'hack ha estratto "informazioni riservate di significativa valore per l'azienda. "
Le specifiche dell'attacco rischiano di rivelarsi ancora più imbarazzanti, poiché alla società ci sono voluti quasi due anni per notare l'hacking, che inizialmente era stato cancellato come insignificante secondo la prima denuncia di Leonardo. Tuttavia, le indagini successive hanno ricostruito uno "scenario molto più ampio e grave".
Ora sembra che, per quasi due anni, il malware abbia silenziosamente esfiltrato dati aziendali classificati e preziosi e li abbia aggiornati continuamente eseguendo automaticamente ogni volta che è stata avviata una workstation.
Il team di cyber security di Leonardo nel gennaio 2017 ha segnalato un traffico anomalo in uscita da alcune postazioni dello stabilimento di Pomigliano d’Arco, generato da un codice denominato "cftmon.exe". Il traffico anomalo è stato indirizzato verso una pagina web denominata “www.fujinama.altervista.org”, sequestrata sabato parallelamente agli arresti. L'hacker, secondo l'agenzia di stampa Adn Kronos, non è stato individuato dalla società ma dal gruppo di lavoro sulla criminalità informatica della Procura di Napoli, le cui indagini sono culminate con gli arresti di venerdì.
Secondo la polizia, l'hacker era un dipendente di Leonardo, anche se la società ha detto che era un "ex collaboratore, che non è un dipendente". Il suo complice, che è stato posto agli arresti domiciliari, è il capo del Cyber Emergency Readiness Team (CERT) di Leonardo, incaricato di proteggere l'azienda dagli attacchi di hacking.
