Non è un attacco hacker qualunque. Perché non è un’azienda qualunque e perché le persone coinvolte non sono ignote figure che agivano protette dall’anonimato della rete. I protagonisti di una vicenda che ricorda tanto una serie tv come ‘Robot’ e le più intriganti sceneggiature di spy story sono l’azienda produttrice di armamenti più importante d’Italia (e tra le più importanti del mondo), un ex collaboratore, tra responsabili proprio della cybersecurity, e un dipendente. Sono stati arrestati con l’accusa di aver sottratto giga s giga di dati alla divisione aerostrutture e velivoli di Leonardo Spa e di aver poi nascosto la gravità dei fatti.

Le accuse formali non rendono la reale portata del caso: accesso abusivo al sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali sono le ipotesi di reato formulate per l’ex collaboratore, ora in carcere; mentre per il dipendente, ai domiciliari, quella di depistaggio.

L’indagine è nata da un episodio del gennaio 2017, quando la struttura di cybersecurity di Leonardo Spa ha segnalato un traffico di rete anomalo in uscita da postazioni di lavoro dello stabilimento di Pomigliano d’Arco generato da un software sconosciuto ai sistemi antivirus Aziendali: cftmon.exe. Il traffico era diretto alla pagina web www.fuijamaaltervista.org per la quale oggi è stato disposto il sequestro preventivo.

La denuncia dell’azienda era circoscritta a un numero ristretto di postazioni e segnalava una esfiltrazione di dati non ritenuta significativa, sottolinea una nota della procura diretta da Giovanni Melillo. Ma le indagini della Polizia Postale hanno ricostruito uno scenario più complesso.

Per quasi due anni, secondo gli inquirenti, tra maggio 2011 e gennaio 2017, le strutture informatiche di Leonardo spa sono state colpite da un attacco mirato e persistente, realizzato con l’installazione nei sistemi, nelle reti e nelle macchine bersaglio di un malware che doveva creare e mantenere canali di comunicazione idonei a portare via in maniera telematica e silente grandi quantitativi di dati e informazioni classificate come di rilevante valore aziendale.

Secondo i pm napoletani l’attacco è stato condotto proprio da un ex addetto alla gestione della sicurezza informatica della stessa azienda, Arturo D’Elia, arrestato. Usando una banalissima chiavetta usb, l’ex dipendente avrebbe inoculato un trojan nei pc spiati in modo che la funzione di spia si attivasse automaticamente a ogni apertura del sistema operativo. Non un evento isolato: nel tempo avrebbe anche installato versioni più evolute del malware.

I dati carpiti da ben 94 le postazioni di lavoro oggetto dell’attacco, delle quali 33 erano proprio a Pomigliano D’Arco, venivano scarticati sul sito www.fuijamaaltervista.org. Si tratta di postazioni in uso a dipendenti anche con mansioni dirigenziali impegnati nella produzione di beni e servizi strategici per la sicurezza e la difesa del Paese.

Complessivamente sono stati esfiltrati dati per 10 giga cioè circa 100.000 file, di gestione amministrativo-contabile, impiego risorse umane, di approvvigionamento e distribuzione di beni strumentali, nonché progettazioni di componenti aeromobili civili e velivoli militari destinati al mercato italiano e internazionale. Captate anche credenziali di accesso a informazioni personali dei dipendenti della Leonardo spa.

Infettate anche 13 postazioni del gruppo Alcatel e 48 in uso a privati o aziende operanti nel settore della produzione aerospaziale. L’autore materiale dell’attacco attualmente è impiegato in un’altra società nel settore dell’elettronica informatica. Il responsabile del cyberemergency team di Leonardo spa Antimo Rossi è ai domiciliari perché ha dato una rappresentazione dei fatti fuorviante della natura degli degli effetti della attacco informatico ostacolando le indagini. 

D’Elia era così orgoglioso della sua capacità informatica da inserire nel suo curriculum anche episodi per cui era stato condannato tra cui una violazione al sistema informatico di una base Nato italiana. Per gli inquirenti ci sono verosimilmente nlche altre responsabilità in questo esfiltraggio di dati sensibili, oltre quelle dei due indagati.

I pm Mariasofia Cozza e Claudio Orazio Onorati, coordinati dall’aggiunto Vincenzo Piscitelli, stanno cercando di capire quale fosse lo scopo dell’attacco. Il malware creato dall’ex dipendente era difficilmente rintracciabile perché non noto agli antivirus anche per un’azienda strutturata per la difesa informatica come Leonardo. D’Elia ha anche affiancato gli investigatori all’inizio dell’inchiesta, ma questi lo hanno individuato come possibile sospetto e hanno proceduto nascondendogli elementi e dissimulando le attività che compivano.

La reazione di Leonardo

 L’inchiesta “è scaturita da una denuncia presentata dalla stessa sicurezza aziendale alla quale ne hanno poi fatto seguire altre” precisa Leonardo in una nota in cui ribadisce di aver fornito “fin dall’inizio” e “conitnuera’ a fornire la massima collaborazione agli inquirenti per fare chiarezza sull’accaduto e a propria tutela”. E quindi precisa che “dati classificati ossia strategici sono trattati in aree segregate e quindi prive di connettività e comunque non presenti nel sito di Pomigliano”.