Schwerer Cyberangriff auf Leonardo

Nach den komplexen Untersuchungsaktivitäten der Arbeitsgruppe am Cyber-Kriminalität der Staatsanwaltschaft von Neapel, mit dem Ziel, die Konturen eines schweren Angriffs auf die IT-Strukturen der Aerostructures Division und der Aircraft Division von Leonardo SpA, der CNAIPIC des Zentraldienstes der Post- und Kommunikationspolizei und des Campania Compartment desselben Dienstes zu definieren zwei Verordnungen, die Vorsichtsmaßnahmen gegen a ex Angestellter und Angestellter des vorgenannten Unternehmens, wobei der erste ernsthaft des Verbrechens des unbefugten Zugriffs auf das Computersystem, des rechtswidrigen Abfangens elektronischer Kommunikation und der rechtswidrigen Verarbeitung personenbezogener Daten (gemäß Artikel 615) verdächtigt wird.terAbsätze 1, 2 und 3, 617cAbsätze 1 und 4, vgl. und 167 des Gesetzesdekrets 196/2003 in Bezug auf Art. 43 des Gesetzesdekrets 51/2018) und das zweite des Verbrechens der Fehlleitung (Artikel 375 Absatz 1 Buchstaben a und b sowie 2 des italienischen Strafgesetzbuchs). 

So kommentierte die Firma Leonardo in einer Notiz den Vorfall: "In Bezug auf die aktuellen Maßnahmen der Justiz von Neapel gibt Leonardo bekannt, dass die Untersuchung auf einer Beschwerde der gleichen Unternehmenssicherheit beruht, auf die dann andere folgten. Die Maßnahmen betreffen a ehemaliger Mitarbeiter nicht bei Leonardo beschäftigt e ein nicht geschäftsführender Angestellter des Unternehmens. Das Unternehmen, offensichtlich der Geschädigte in dieser Angelegenheit, hat von Anfang an bereitgestellt und wird den Ermittlern weiterhin die größtmögliche Zusammenarbeit bieten, um den Vorfall zu klären und sich selbst zu schützen. Schließlich ist anzumerken, dass klassifizierte oder strategische Daten in getrennten Gebieten und daher ohne Konnektivität verarbeitet werden und auf keinen Fall am Standort Pomigliano vorhanden sind."

Im Januar 2017 wurde die Struktur von Internet-Sicherheit di Leonardo SpA hatte anomalen Netzwerkverkehr gemeldet, der von einigen Arbeitsstationen des Werks in ausgeht Pomigliano D'Arco, erzeugt von a Software. Artefakt benannt "Cftmon.exe", für Antivirensysteme von Unternehmen unbekannt. 

Der anomale Verkehr wurde auf eine Seite geleitet Netz genannt "www.fujinama.altervista.org" , von denen die vorbeugende Beschlagnahme beantragt und angeordnet und heute durchgeführt wurde.  

Laut der ersten Beschwerde von Leonardo SpA war die IT-Anomalie auf eine kleine Anzahl von Arbeitsstationen beschränkt und durch eine Exfiltration von Daten gekennzeichnet, die als nicht signifikant angesehen wurden. Nachfolgende Untersuchungen rekonstruierten ein viel umfangreicheres und schwerwiegenderes Szenario.  

Die Untersuchungen ergaben, dass die IT-Strukturen von Leonardo SpA fast zwei Jahre lang (zwischen Mai 2015 und Januar 2017) von einem gezielten und anhaltenden Cyberangriff (bekannt als) betroffen waren Advanced Persistent Threat o APT), da es mit der Installation eines Schadcodes in den Zielsystemen, Netzwerken und Maschinen erstellt wird, der darauf abzielt, aktive Kommunikationskanäle zu erstellen und aufrechtzuerhalten, die für die stille Exfiltration erheblicher Datenmengen geeignet sind. 

Insbesondere nach dem Stand der Akquisitionen scheint dieser schwerwiegende Cyberangriff von einem IT-Sicherheitsmanager von Leonardo SpA selbst durchgeführt worden zu sein, gegen den das GIP des Gerichts von Neapel die Maßnahme der Untersuchungshaft im Gefängnis angeordnet hat.  

In der Tat stellte sich heraus, dass die Software. böswillig - erstellt für illegale Zwecke, für die die vollständige Rekonstruktion im Gange ist - es hat sich wie eine echte verhalten Trojaner Neu entwickelt, durch Einstecken von USB-Sticks in die ausspionierten PCs geimpft und somit bei jedem Betriebssystembetrieb automatisch gestartet. Es war also möglich für dieHacker Abfangen, was auf der Tastatur der infizierten Stationen eingegeben wurde, und Erfassen der Bilder, die auf den Bildschirmen angezeigt wurden (Bildschirmaufnahme). Die Unternehmensdaten des Pomigliano D'Arco-Werks von Leonardo Spa hatten somit tatsächlich die volle Kontrolle über den Angreifer, der dank seiner eigenen Unternehmenspflichten im Laufe der Zeit in der Lage war, evolutionärere Versionen des zu installieren Malwaremit zunehmend invasiven und durchdringenden Fähigkeiten und Effekten. Schließlich ermöglichten die Untersuchungen die Rekonstruktion der Aktivität von Antiforensikum des Angreifers, der durch Verbindung mit dem C & C (Kommando- und Kontrollzentrum) der Site Netz "FujinamaNachdem er die gestohlenen Daten heruntergeladen hatte, löschte er alle Spuren auf den kompromittierten Maschinen aus der Ferne. Nach dem von der Kommunikationspolizei durchgeführten Umbau wird der so durchgeführte Computerangriff als äußerst schwerwiegend eingestuft, da die Oberfläche des Angriffs 94 Arbeitsplätze betraf, von denen sich 33 im Werk des Unternehmens Pomigliano D'Arco befanden . Auf diesen Stationen, schreibt die Pressemitteilung, wurden mehrere Benutzerprofile konfiguriert, die von Mitarbeitern verwendet wurden, auch mit Führungsaufgaben, die geschäftliche Aktivitäten zur Herstellung von Waren und Dienstleistungen strategischer Art für die Sicherheit und Verteidigung des Landes ausübten. Die Schwere des Unfalls ergibt sich auch aus der Art der gestohlenen Informationen, wobei berücksichtigt wird, dass von den 33 Zielmaschinen in Pomigliano d'Arco derzeit 10 Giga Daten, was etwa 100.000 entspricht, exfiltriert wurden Dateienin Bezug auf das Verwaltungs- / Buchhaltungsmanagement, den Einsatz von Humanressourcen, die Beschaffung und den Vertrieb von Investitionsgütern sowie die Konstruktion von Komponenten für zivile und militärische Flugzeuge für den nationalen und internationalen Markt. Neben den Unternehmensdaten wurden auch die Zugangsdaten und andere persönliche Informationen der Leonardo-Mitarbeiter gesammelt. Zusätzlich zu den Computerstationen des Werks Pomigliano D'Arco wurden 13 Stationen eines Unternehmens der Gruppe infiziert Alcatel Hinzu kommen 48 weitere, die sowohl von Privatpersonen als auch von Unternehmen der Luft- und Raumfahrtproduktion genutzt werden. Neben den IT-Ermittlungen waren die traditionelleren Ermittlungsaktivitäten von grundlegender Bedeutung, die es auch ermöglichten, den "Cyberkriminellen" -Trainingspfad des Verdächtigen zu rekonstruieren, der als materieller Täter des Angriffs identifiziert wurde und derzeit bei einem anderen in der USA tätigen Unternehmen beschäftigt ist Computerelektronik Sektor.    

Weitere Untersuchungen ermöglichten es, auch konvergente Schuldbeweise bezüglich der Begehung des Verbrechens der Fehlleitung durch den CERT-Manager zu sammeln (Cyber ​​Emergency Readiness Team) von Leonardo Spa, einer Stelle, die für die Verwaltung der IT-Angriffe des Unternehmens verantwortlich ist.  

Die vorsorgliche Maßnahme des Sorgerechts für zu Hause wurde auf letztere angewendet, was zu ernsthaften Anzeichen von Schuld in Bezug auf heimtückische und wiederholte nachweisliche Verschmutzungsaktivitäten führte, die darauf abzielten, die Art und die Auswirkungen des Cyberangriffs falsch und irreführend darzustellen und Untersuchungen zu behindern. 

Schwerer Cyberangriff auf Leonardo

| NEWS ', Beweise 3 |