Μετά τις πολύπλοκες ερευνητικές δραστηριότητες της Ομάδας Εργασίας για το εγκλήματος στον κυβερνοχώρο της Εισαγγελίας της Νάπολης, με στόχο τον καθορισμό του περιγράμματος μιας σοβαρής επίθεσης στις δομές πληροφορικής του τμήματος αεροσκαφών και του τμήματος αεροσκαφών του Leonardo SpA, της CNAIPIC της Κεντρικής Υπηρεσίας της Αστυνομίας Ταχυδρομείων και Επικοινωνιών και του τμήματος Campania του ίδια υπηρεσία δύο διατάγματα που εφαρμόζουν προληπτικά μέτρα κατά α ex υπάλληλος και υπάλληλος της προαναφερθείσας εταιρείας, ο πρώτος υποψιάζεται σοβαρά για εγκλήματα μη εξουσιοδοτημένης πρόσβασης στο σύστημα υπολογιστών, παράνομη παρακολούθηση ηλεκτρονικών επικοινωνιών και παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα (αντίστοιχα προβλέπονται στα άρθρα 615-ter, παράγραφοι 1, 2 και 3, 617quater, παράγραφοι 1 και 4, του ιταλικού ποινικού κώδικα, και 167 του νομοθετικού διατάγματος 196/2003, σχετικά με το άρθρο. 43 του νομοθετικού διατάγματος 51/2018) και, το δεύτερο, του εγκλήματος κακής κατεύθυνσης (άρθρο 375, παράγραφος 1, γράμματα α και β και 2 του ιταλικού ποινικού κώδικα).
Έτσι, η εταιρεία Leonardo, σε ένα σημείωμα, σχολίασε τι συνέβη: "Όσον αφορά τα τρέχοντα μέτρα που έχουν υιοθετηθεί από το δικαστικό σώμα της Νάπολης, ο Λεονάρντο ανακοινώνει ότι η έρευνα προέκυψε από μια καταγγελία που παρουσίασε η ίδια εταιρεία ασφαλείας, την οποία ακολούθησαν άλλοι. Τα μέτρα αφορούν α πρώην συνεργάτης που δεν απασχολήθηκε από τον Leonardo e μη εκτελεστικός υπάλληλος της εταιρείας. Η Εταιρεία, προφανώς το τραυματισμένο μέρος σε αυτήν την υπόθεση, παρέχει από την αρχή και θα συνεχίσει να παρέχει τη μέγιστη συνεργασία στους ανακριτές για να διευκρινίσει το συμβάν και να προστατευθεί. Τέλος, πρέπει να σημειωθεί ότι τα διαβαθμισμένα ή στρατηγικά δεδομένα υποβάλλονται σε επεξεργασία σε διαχωρισμένες περιοχές και συνεπώς χωρίς συνδεσιμότητα και σε καμία περίπτωση δεν υπάρχουν στον ιστότοπο Pomigliano."
Τον Ιανουάριο του 2017 η δομή του κυβερνασφάλεια Το Leonardo SpA είχε αναφέρει ανωμαλία κυκλοφορίας δικτύου, που βγαίνει από ορισμένους σταθμούς εργασίας του εργοστασίου το Pomigliano D'Arco, δημιουργήθηκε από ένα λογισμικό ονομάζεται τεχνούργημα "Cftmon.exe", άγνωστο σε εταιρικά συστήματα προστασίας από ιούς.
Η ανώμαλη κίνηση κατευθύνθηκε σε μια σελίδα ιστός το όνομα "www.fujinama.altervista.org", εκ των οποίων ζητήθηκε και διατάχθηκε η προληπτική κατάσχεση, και εκτελείται σήμερα.
Σύμφωνα με την πρώτη καταγγελία του Leonardo SpA, η ανωμαλία πληροφορικής περιορίστηκε σε περιορισμένο αριθμό σταθμών εργασίας και χαρακτηρίστηκε από την αποβολή δεδομένων που θεωρήθηκαν μη σημαντικά. Μεταγενέστερες έρευνες έχουν ανακατασκευάσει ένα πολύ πιο εκτεταμένο και σοβαρό σενάριο.
Οι έρευνες έδειξαν ότι, για σχεδόν δύο χρόνια (μεταξύ Μαΐου 2015 και Ιανουαρίου 2017), οι δομές πληροφορικής του Leonardo SpA είχαν πληγεί από στοχευμένη και επίμονη επίθεση στον κυβερνοχώρο (γνωστή ως Προχωρημένη επίμονη απειλή o APT), δεδομένου ότι έχει δημιουργηθεί με την εγκατάσταση στα συστήματα-στόχους, τα δίκτυα και τις μηχανές, ενός κακόβουλου κώδικα που στοχεύει στη δημιουργία και τη διατήρηση ενεργών καναλιών επικοινωνίας κατάλληλων για να επιτρέψει τη σιωπηλή αποβολή σημαντικών ποσοτήτων δεδομένων.
Συγκεκριμένα, στην κατάσταση των εξαγορών, φαίνεται ότι αυτή η σοβαρή επίθεση στον κυβερνοχώρο πραγματοποιήθηκε από έναν διευθυντή ασφάλειας πληροφορικής του ίδιου του Leonardo SpA, εναντίον του οποίου η GIP του Δικαστηρίου της Νάπολης διέταξε το μέτρο της προληπτικής κράτησης στη φυλακή.
Στην πραγματικότητα, προέκυψε ότι το λογισμικό κακόβουλος - δημιουργήθηκε για παράνομους σκοπούς των οποίων η πλήρης ανασυγκρότηση βρίσκεται σε εξέλιξη - συμπεριφερόταν σαν πραγματική trojan πρόσφατα κατασκευασμένο, εμβολιάστηκε εισάγοντας USB sticks στον κατασκοπευτικό υπολογιστή, έτσι ώστε να μπορεί να ξεκινά αυτόματα κάθε φορά που εκτελείται το λειτουργικό σύστημα. Ήταν επομένως δυνατό για τοχάκερ να αναχαιτίσετε αυτό που πληκτρολογήθηκε στο πληκτρολόγιο των μολυσμένων σταθμών και να καταγράψετε τα πλαίσια αυτού που εμφανίστηκε στις οθόνες (καταγραφή οθόνης). Τα εταιρικά δεδομένα του εργοστασίου Pomigliano D'Arco του Leonardo Spa ήταν στην πραγματικότητα υπό τον πλήρη έλεγχο του εισβολέα, ο οποίος, χάρη στα δικά του εταιρικά καθήκοντα, κατάφερε με την πάροδο του χρόνου να εγκαταστήσει περισσότερες εξελικτικές εκδόσεις του malware, με ολοένα και πιο επεμβατικές δυνατότητες και εφέ. Τέλος, οι έρευνες κατέστησαν δυνατή την ανοικοδόμηση της δραστηριότητας του αντιφορητικό του εισβολέα, ο οποίος συνδέοντας το C&C (κέντρο ελέγχου και ελέγχου) του ιστότοπου ιστός "fujinamaΜετά τη λήψη των κλεμμένων δεδομένων, διέγραψε εξ αποστάσεως όλα τα ίχνη στα παραβιασμένα μηχανήματα. Σύμφωνα με την ανασυγκρότηση που πραγματοποίησε η Αστυνομία Επικοινωνιών, η επίθεση στον κυβερνοχώρο που πραγματοποιήθηκε με αυτόν τον τρόπο χαρακτηρίζεται ως εξαιρετικά σοβαρή, καθώς η επιφάνεια της επίθεσης επηρέασε 94 σταθμούς εργασίας, εκ των οποίων 33 βρίσκονται στο εργοστάσιο της εταιρείας στο Pomigliano D'Arco. Σε αυτούς τους σταθμούς, γράφει το δελτίο τύπου, πολλαπλά προφίλ χρήστη διαμορφώθηκαν σε χρήση από υπαλλήλους, ακόμη και με διευθυντικά καθήκοντα, που ασχολούνται με επιχειρηματικές δραστηριότητες με στόχο την παραγωγή αγαθών και υπηρεσιών στρατηγικής φύσης για την ασφάλεια και την άμυνα της χώρας. Η σοβαρότητα του ατυχήματος προκύπτει επίσης από τον τύπο των πληροφοριών που έχουν κλαπεί, λαμβάνοντας υπόψη ότι από τα 33 μηχανήματα-στόχους που βρίσκονται στο Pomigliano d'Arco, επί του παρόντος, έχουν διαγραφεί 10 Giga δεδομένων, ίση με περίπου 100.000. αρχεία, σχετικά με τη διοικητική / λογιστική διαχείριση, τη χρήση ανθρώπινων πόρων, την προμήθεια και διανομή κεφαλαιουχικών αγαθών, καθώς και το σχεδιασμό εξαρτημάτων για πολιτικά αεροσκάφη και στρατιωτικά αεροσκάφη για την εγχώρια και διεθνή αγορά. Παράλληλα με τα δεδομένα της εταιρείας, συλλέχθηκαν τα διαπιστευτήρια πρόσβασης και άλλες προσωπικές πληροφορίες των υπαλλήλων του Leonardo. Εκτός από τους σταθμούς υπολογιστών του εργοστασίου Pomigliano D'Arco, 13 σταθμοί μιας εταιρείας του ομίλου μολύνθηκαν Αλκατέλ, στις οποίες έχουν προστεθεί 48 άλλοι, σε χρήση από ιδιώτες καθώς και από εταιρείες που δραστηριοποιούνται στον τομέα της αεροδιαστημικής παραγωγής. Παράλληλα με τις έρευνες πληροφορικής, οι πιο παραδοσιακές ερευνητικές δραστηριότητες ήταν θεμελιώδεις, γεγονός που κατέστησε επίσης δυνατή την ανασυγκρότηση του εκπαιδευτικού κύκλου «εγκληματικότητας στον κυβερνοχώρο» του υπόπτου που προσδιορίστηκε ως ο ύποπτος της επίθεσης, που εργάζεται επί του παρόντος σε άλλη εταιρεία που δραστηριοποιείται στον τομέα ηλεκτρονικών υπολογιστών.
Περαιτέρω έρευνες κατέστησαν δυνατή τη συλλογή συγκλίνων ενδείξεων ενοχής σχετικά με τη διάπραξη του εγκλήματος της κακής κατεύθυνσης από τον διευθυντή του CERT (Ομάδα ετοιμότητας έκτακτης ανάγκης στον κυβερνοχώρο) του Leonardo spa, ενός φορέα που είναι υπεύθυνος για τη διαχείριση των επιθέσεων πληροφορικής που υπέστη η εταιρεία.
Το προληπτικό μέτρο της κατ 'οίκον επιμέλειας εφαρμόστηκε στο τελευταίο, με αποτέλεσμα σοβαρές ενδείξεις ενοχής σε σχέση με ύπουλες και επαναλαμβανόμενες αποδεικτικές δραστηριότητες ρύπανσης, με στόχο να δοθεί μια ψευδή και παραπλανητική αναπαράσταση της φύσης και των επιπτώσεων της επίθεσης στον κυβερνοχώρο. .