Naar aanleiding van de complexe onderzoeksactiviteiten van de Working Group on cybercrime van het Openbaar Ministerie van Napels, gericht op het bepalen van de contouren van een ernstige aanval op de IT-structuren van de Aerostructures Division en de Aircraft Division van Leonardo SpA, de CNAIPIC van de Centrale Dienst van de Post- en Communicatiepolitie en het Campania-compartiment van dezelfde dienst twee verordeningen waarbij voorzorgsmaatregelen worden genomen tegen a ex werknemer en een werknemer van voornoemde onderneming, waarbij de eerste ernstig wordt verdacht van de misdrijven van ongeautoriseerde toegang tot het computersysteem, onrechtmatige onderschepping van elektronische communicatie en onrechtmatige verwerking van persoonsgegevens (respectievelijk bepaald in artikel 615-ter, leden 1, 2 en 3, 617quater, paragrafen 1 en 4, cp, en 167 van wetsbesluit 196/2003, met betrekking tot art. 43 van wetsbesluit 51/2018) en, de tweede, van het misdrijf misdrijf (artikel 375, lid 1, letters a en b, en 2, van het Italiaanse wetboek van strafrecht).
Zo gaf het bedrijf Leonardo in een notitie commentaar op het incident: "Met betrekking tot de huidige maatregelen die door de rechterlijke macht van Napels zijn genomen, kondigt Leonardo aan dat het onderzoek voortkwam uit een klacht die was ingediend door dezelfde bedrijfsveiligheid, die vervolgens werd gevolgd door anderen. De maatregelen betreffen a voormalig medewerker niet in dienst van Leonardo e een niet-uitvoerende werknemer van het bedrijf. Het bedrijf, uiteraard de benadeelde partij in deze zaak, heeft vanaf het begin voorzien en zal de maximale medewerking blijven verlenen aan de onderzoekers om het incident op te helderen en zichzelf te beschermen. Ten slotte moet worden opgemerkt dat geclassificeerde of strategische gegevens worden verwerkt in gescheiden gebieden en dus zonder connectiviteit en in ieder geval niet aanwezig zijn op de Pomigliano-site."
In januari 2017 is de structuur van internetveiligheid di Leonardo SpA had abnormaal netwerkverkeer gemeld, uitgaand van sommige werkstations van de fabriek in Pomigliano D'Arco, gegenereerd door een software artefact genoemd "Cftmon.exe", onbekend bij antivirussystemen van bedrijven.
Het abnormale verkeer ging naar een pagina web genoemd "www.fujinama.altervista.org", waarvan de preventieve inbeslagneming is aangevraagd en bevolen, en vandaag is uitgevoerd.
Volgens de eerste klacht van Leonardo SpA was de IT-anomalie beperkt tot een beperkt aantal werkstations en werd deze gekenmerkt door een exfiltratie van gegevens die als niet significant werden beschouwd. Latere onderzoeken hebben een veel uitgebreider en ernstiger scenario gereconstrueerd.
Uit het onderzoek bleek dat de IT-structuren van Leonardo SpA gedurende bijna twee jaar (tussen mei 2015 en januari 2017) waren getroffen door een gerichte en aanhoudende cyberaanval (bekend als Advanced Persistent Threat o APT), aangezien het is gemaakt met de installatie in de doelsystemen, netwerken en machines van een kwaadaardige code gericht op het creëren en onderhouden van actieve communicatiekanalen die geschikt zijn om de stille exfiltratie van aanzienlijke hoeveelheden gegevens mogelijk te maken.
In het bijzonder blijkt uit de staat van de overnames dat deze ernstige cyberaanval werd uitgevoerd door een IT-beveiligingsmanager van Leonardo SpA zelf, tegen wie de GIP van de rechtbank van Napels de maatregel van voorlopige hechtenis heeft bevolen.
In feite bleek dat de software kwaadaardig - gemaakt voor illegale doeleinden waarvan de volledige wederopbouw gaande is - het gedroeg zich als een echte Trojaans nieuw ontworpen, geïnoculeerd door USB-sticks in de bespioneerde pc's te steken, zodat ze automatisch kunnen starten elke keer dat het besturingssysteem wordt uitgevoerd. Het was dus mogelijk voor dehacker onderschep wat werd getypt op het toetsenbord van de geïnfecteerde stations en leg de frames vast van wat werd weergegeven op de schermen (schermopname). Bedrijfsgegevens van de Pomigliano D'Arco-fabriek van Leonardo Spa hadden dus in feite de volledige controle over de aanvaller, die dankzij zijn eigen taken na verloop van tijd in staat was om meer evolutionaire versies van de malware, met steeds meer invasieve en penetrerende mogelijkheden en effecten. Ten slotte hebben de onderzoeken het mogelijk gemaakt om de activiteit van antiforensisch aanvaller, die door verbinding te maken met de C&C (command and control center) van de site web "Fujinama”, Nadat hij de gestolen gegevens had gedownload, verwijderde hij op afstand alle sporen op de gecompromitteerde machines. Volgens de reconstructie die is uitgevoerd door de communicatiepolitie, wordt de computeraanval die aldus wordt uitgevoerd, geclassificeerd als buitengewoon ernstig, aangezien het oppervlak van de aanval 94 werkstations trof, waarvan 33 in de fabriek van het bedrijf in Pomigliano D'Arco . Op deze stations, zo schrijft het persbericht, werden meerdere gebruikersprofielen geconfigureerd in gebruik door werknemers, zelfs met leidinggevende taken, die zich bezighielden met zakelijke activiteiten gericht op het produceren van goederen en diensten van strategische aard voor de veiligheid en verdediging van het land. De ernst van het ongeval blijkt ook uit het soort gestolen informatie, rekening houdend met het feit dat van de 33 doelmachines in Pomigliano d'Arco momenteel 10 Giga aan gegevens, gelijk aan ongeveer 100.000, is geëxfiltreerd bestanden, met betrekking tot het administratief / boekhoudkundig beheer, het gebruik van menselijke hulpbronnen, de aankoop en distributie van kapitaalgoederen, evenals het ontwerp van componenten voor burgerluchtvaartuigen en militaire vliegtuigen voor de binnenlandse en internationale markt. Naast bedrijfsgegevens werden ook de toegangsgegevens en andere persoonlijke informatie van Leonardo-medewerkers verzameld. Naast de computerstations van de Pomigliano D'Arco-fabriek werden 13 stations van een bedrijf van de groep besmet Alcatel, waaraan 48 andere zijn toegevoegd, in gebruik door zowel particulieren als bedrijven die actief zijn in de lucht- en ruimtevaartproductie. Naast de IT-onderzoeken waren de meer traditionele onderzoeksactiviteiten fundamenteel, wat het ook mogelijk maakte om het "cybercriminele" trainingstraject te reconstrueren van de verdachte geïdentificeerd als de materiële dader van de aanval, momenteel werkzaam bij een ander bedrijf dat actief is in de computer elektronica sector.
Verder onderzoek maakte het ook mogelijk om convergente aanwijzingen van schuld te verzamelen met betrekking tot het plegen van het misdrijf van misleiding door de CERT-manager (Cyber Emergency Readiness Team) van Leonardo Spa, een instantie die verantwoordelijk is voor het beheer van de IT-aanvallen van het bedrijf.
Op deze laatste werd de voorzorgsmaatregel van huisbewaring toegepast, resulterend in ernstige aanwijzingen van schuld met betrekking tot verraderlijke en herhaalde bewijsvervuilingsactiviteiten, gericht op het geven van een valse en misleidende voorstelling van de aard en de effecten van de cyberaanval en om onderzoeken te belemmeren.