Giacomo Cavanna
Il responsabile del Cyber Emergency Readiness Team (CERT) ed un ex dipendente della sicurezza informatica di Leonardo sono stati raggiunti da misure cautelari nell’ambito della sottrazione, per quasi due anni, di quasi 10 gigabyte di dati.
L’attacco è stato perpetrato con una tecnica molto avanzata già impiegata da Cina, Russia,Iran e Corea del Nord.
L’obiettivo dell’attacco informatico è stata la Divisione Aerostrutture e della Divisione Velivoli tra maggio 2015 e gennaio 2017 principalmente nel sito di Pomigliano D’Arco.
L’ex dipendente
L’ex dipendente, Arturo d’Elia, è uno sviluppatore di applicativi forensi per l’acquisizione di dati ed aveva scovato una vulnerabilità presente nei sistemi dell’U.S. Air Force aiutando le autorità statunitensi a risolvere il problema.
Secondo quanto riportato dall’ANSA avrebbe messo a segno un colpo anche nei confronti di una base della NATO in Italia ricevendo una condanna.
D’Elia è stato assunto come consulente IT di Leonardo tra settembre 2014 e dicembre 2015 presso il sito di Napoli continuando all’interno del Computer Emergency Response Team a Roma fino a marzo 2018. Dall’aprile 2018 ha assunto l’incarico di Security Team Lead.
L’attacco
La tipologia di attacco usata impiega una minaccia Advanced Persistent Threat (APT) in grado di rimanere nascosta all’interno dei sistemi informatici e “carpire” una grandissima mole di dati.
Per portare a termine un attacco APT è necessario innanzitutto infettare i terminali con il malware, compito facilitato dalla posizione di d’Elia all’interno della società. Il vettore in questo caso sarebbero delle comuni chiavette USB, una delle principali fonti di pericolo in ambito informatico.
Una volta che il malware è inserito crea una serie di backdoor e “tunnel” in modo da permettere l’accesso dell’hacker.
Una volta “spianata” la strada l’hacker ottiene il controllo come amministratore del computer potendo accedere ad altri sistemi collegati nella rete magari ad un livello di sicurezza superiore.
Dall’interno può sottrarre dati, analizzare la struttura della rete oppure immettere o modificare del codice per svolgere alcune determinate azioni.
La pericolosità di questo tipo di attacchi è che possono rimanere attivi per moltissimo tempo dato che sono difficilmente individuabili e non esiste una procedura sicura di difesa se non l’applicazione di policy di sicurezza aggiornate.
In base alle capacità degli sviluppatori è possibile criptare la trasmissione dei dati in uscita, impiegare Virtual Private Network (VPN), [….]
Una volta completato il lavoro l’hacker copre le sue tracce eliminando ogni “frammento” che possa ricondurre a lui.
Il primo allarme
Il campanello di allarme è scattato a gennaio 2017 quando l’unità Cyber Security di Leonardo ha rilevato un traffico dati anomalo in uscita dallo stabilimento di Pomigliano D’Arco da un software chiamato “cftmon.exe” che non era presente nella lista degli applicativi che avrebbero dovuto avere un interscambio con la rete esterna.
Questo eseguibile si occupa “normalmente” di gestire, in ambiente Windows, l’Alternate User Text Input Processor (TIP) e la barra con la selezione della lingua in Office.
Quello che veniva digitato sulle tastiere era dunque “intercettato” ed inviato ad una pagina web all’indirizzo www.fujinama.altervista.org che è attualmente posta sotto sequestro dalla Polizia Postale dal 2018. Grazie ad una modifica era anche in grado di catturare immagini dello schermo, una sorta di screenshot.
Attraverso web.archive.org è possibile recuperare alcuni snapshot del sito precedenti al sequestro ma successivi a gennaio 2017.
Il primo disponibile risale al 23 febbraio 2017 e mostra un comune form di login con la tipica “mascotte” dei sistemi Linux. Una immagine simile è presente sul sito del progetto FHC, una distribuzione linux per scopi forensi, sviluppato e gestito dallo stesso D’Elia.
Il fatto, così come previsto dalla normativa vigente, venne denunciato da Leonardo come una azione limitata che riguardava informazioni non particolarmente importanti.
I dati sottratti
Le indagini hanno però appurato che il furto informatico non è stato così limitato ed il numero di terminali e la mole di dati era superiore.
Il numero di terminali compromessi è circa 94 di cui 33 presso il sito di Pomigliano d’Arco dove sono stati sottratti circa 100.000 file riguardanti la gestione amministrativa e contabile, risorse umane, logistica e progettazione di componenti per aerei civili e velivoli militari.
Oltre a Leonardo anche una azienda del gruppo francese Alcatel, dove D’Elia ha lavorato tra il febbraio 2004 ed l’agosto 2014 come consulente IT, ha subito l’attacco di 48 computer.
Il caso giudiziario
Questo tipo di attacchi richiede una conoscenza molto profonda dei sistemi informatici ed una grande quantità di risorse per lo sviluppo. Normalmente sono impiegati da nazioni o gruppi con che godono del loro supporto.
L’APT1, sviluppato dalla Cina, ha compromesso per quasi 5 anni terminali governativi e di organizzazioni internazionali e sovranazionali prima di essere scoperto.
Per la Procura di Napoli ad Arturo d’Elia è contestato dei delitti di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali (rispettivamente previsti dagli artt. 615-ter, commi 1, 2 e 3, 617-quater, commi 1 e 4, c.p., e 167 d.lgs. 196/2003, in relazione all’art. 43 d.lgs. 51/2018).
Per quanto concerne invece il responsabile del CERT l’accusa sarebbe di depistaggio dato che avrebbe rilasciato dichiarazioni false e fuorvianti sulla natura e gli effetti dell’attacco informatico per ostacolare il lavoro degli inquirenti.
Non è detto che i due fossero in combutta. Il dirigente avrebbe potuto minimizzare le dimensioni dell’attacco per non compromettere la sua posizione lavorativa dato che il compito del CERT è proprio quello di gestire, controllare e difendere le reti dalle minacce informatiche.
L’ex dipendente avrebbe potuto agire per personalmente, acquisendo dati da poi rivendere a terzi, oppure su “commissione” dietro compenso.
Chiaramente bisognerà aspettare i tempi della magistratura per appurare le responsabilità e le conseguenti sentenze dei tribunali.
Alcuni esperti del settore intervistati da CyberSecuirty360 si dicono scettici sulle reali capacità del malware affermando che potrebbe non essere così sofisticato come è stato descritto dal comunicato stampa della Polizia di Stato ma il tutto possa essere stato facilitato dalla posizione di “controllore” dell’ex dipendente.
La risposta di Leonardo
Leonardo ha affidato ad un comunicato stampa la posizione della società affermando che:
In merito agli odierni provvedimenti adottati dalla magistratura di Napoli, Leonardo rende noto che l’inchiesta è scaturita da una denuncia presentata dalla stessa sicurezza aziendale alla quale ne hanno poi fatto seguito altre.
Le misure riguardano un ex collaboratore non dipendente di Leonardo e un dipendente, non dirigente, della società.
L’Azienda, ovviamente parte lesa in questa vicenda, ha fornito fin dall’inizio e continuerà a fornire la massima collaborazione agli inquirenti per fare chiarezza sull’accaduto e a propria tutela.
Si precisa infine che dati classificati ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano.
Note
- Il comunicato stampa della Polizia di Stato: qui
- Il comunicato stampa di Leonardo: qui
- Approfondimento del direttore di CyberSecurity360: qui
Immagine di copertina: Background vector created by rawpixel.com – www.freepik.com
