W następstwie złożonych działań dochodzeniowych grupy roboczej ds cyberprzestępczość Prokuratury w Neapolu, której celem było określenie konturów poważnego ataku na struktury informatyczne Wydziału Aerostruktury i Wydziału Lotniczego Leonardo SpA, CNAIPIC Centralnej Służby Policji Pocztowej i Łączności oraz Wydziału Kampanii w tej samej służbie dwa rozporządzenia dotyczące środków zapobiegawczych wobec a ex pracownik i pracownik ww. firmy, jako pierwsi poważnie podejrzani o przestępstwa nieuprawnionego dostępu do systemu informatycznego, bezprawnego przechwytywania komunikacji elektronicznej oraz niezgodnego z prawem przetwarzania danych osobowych (przewidziane odpowiednio w art.ter, pkt 1, 2 i 3, 617quater, ust. 1 i 4, Kodeksu karnego oraz 167 dekretu ustawodawczego 196/2003, w związku z art. 43 dekretu ustawodawczego 51/2018), a po drugie, przestępstwa wprowadzającego w błąd (art. 375 ust. 1 lit. a i b oraz 2 włoskiego kodeksu karnego).
Tak więc firma Leonardo w notatce skomentowała to, co się stało: "W odniesieniu do aktualnych środków przyjętych przez sądownictwo w Neapolu Leonardo informuje, że dochodzenie rozpoczęło się na podstawie skargi złożonej przez tę samą firmę ochroniarską, która została następnie rozpatrzona przez innych. Środki dotyczą a były współpracownik niezatrudniony przez Leonarda e pracownik niewykonawczy firmy. Firma, oczywiście strona poszkodowana w tej sprawie, zapewniała od samego początku i nadal będzie zapewniać śledczym maksymalną współpracę w celu wyjaśnienia incydentu i ochrony siebie. Na koniec należy zauważyć, że dane niejawne lub strategiczne są przetwarzane na wydzielonych obszarach, a zatem bez łączności, a w każdym razie nie występują na terenie Pomigliano."
W styczniu 2017 r. Struktura bezpieczeństwo cybernetyczne di Leonardo SpA zgłosił anomalny ruch sieciowy wychodzący z niektórych stacji roboczych fabryki w Pomigliano D'Arco, wygenerowany przez oprogramowanie artefakt o nazwie „Cftmon.exe”nieznane korporacyjnym systemom antywirusowym.
Nieprawidłowy ruch został skierowany na stronę sieć nazywane "www.fujinama.altervista.org", w przypadku których zażądano zajęcia zapobiegawczego i zarządzono go, a obecnie został on przeprowadzony.
Zgodnie z pierwszą skargą Leonardo SpA, anomalia informatyczna ograniczała się do niewielkiej liczby stacji roboczych i charakteryzowała się eksfiltracją danych uznanych za nieistotne. Późniejsze badania odtworzyły znacznie bardziej rozbudowany i poważny scenariusz.
Dochodzenia wykazały, że przez prawie dwa lata (od maja 2015 r. Do stycznia 2017 r.) Struktury informatyczne Leonardo SpA były atakowane przez ukierunkowany i trwały cyberatak (znany jako Zaawansowane Trwałe Zagrożenie o APT), ponieważ jest tworzony wraz z instalacją w docelowych systemach, sieciach i maszynach złośliwego kodu mającego na celu tworzenie i utrzymywanie aktywnych kanałów komunikacyjnych umożliwiających cichą eksfiltrację znacznych ilości danych.
W szczególności, na etapie przejęć, wydaje się, że ten poważny cyberatak został przeprowadzony przez samego kierownika ds. Bezpieczeństwa IT w Leonardo SpA, wobec którego GIP Sądu w Neapolu zarządził środek zapobiegawczy w postaci zatrzymania w więzieniu.
W rzeczywistości okazało się, że oprogramowanie wrogi - stworzony do nielegalnych celów, którego całkowita przebudowa jest w toku - zachowywał się jak prawdziwy trojański nowo opracowany, zaszczepiony przez włożenie pamięci USB do szpiegowanych komputerów PC, dzięki czemu może uruchamiać się automatycznie przy każdym uruchomieniu systemu operacyjnego. Było to zatem możliwe dlahaker przechwytuje to, co zostało wpisane na klawiaturze zainfekowanych stacji i przechwytuje klatki tego, co było wyświetlane na ekranach (przechwytywanie ekranu). Dane firmy z zakładu w Pomigliano D'Arco w Leonardo Spa faktycznie miały więc w rzeczywistości pełną kontrolę nad napastnikiem, który dzięki własnym obowiązkom w firmie z czasem był w stanie zainstalować bardziej ewolucyjne wersje malware, o coraz bardziej inwazyjnych i penetrujących możliwościach i skutkach. Ostatecznie badania pozwoliły zrekonstruować działalność antykryminalistyczna atakującego, który łączy się z C&C (centrum dowodzenia i kontroli) witryny sieć "Fujinama”, Po pobraniu skradzionych danych zdalnie usunął wszystkie ślady z zaatakowanych maszyn. Zgodnie z rekonstrukcją przeprowadzoną przez Policję Łączności, przeprowadzony w ten sposób atak komputerowy został sklasyfikowany jako wyjątkowo poważny, ponieważ powierzchnia ataku objęła 94 stacje robocze, z czego 33 zlokalizowane były w zakładzie firmy Pomigliano D'Arco. Na tych stacjach, pisze komunikat prasowy, skonfigurowano wiele profili użytkowników, z których korzystali pracownicy, nawet pełniący funkcje kierownicze, prowadzący działalność gospodarczą mającą na celu produkcję towarów i usług o charakterze strategicznym dla bezpieczeństwa i obronności kraju. O powadze wypadku świadczy również rodzaj skradzionych informacji, biorąc pod uwagę fakt, że z 33 maszyn docelowych znajdujących się w Pomigliano d'Arco wyeksfiltrowano obecnie 10 gigabajtów danych, co odpowiada około 100.000 tys. pliki, odnoszące się do zarządzania administracyjnego / księgowego, wykorzystania zasobów ludzkich, zaopatrzenia i dystrybucji dóbr inwestycyjnych, a także projektowania komponentów do cywilnych i wojskowych statków powietrznych na rynek krajowy i międzynarodowy. Oprócz danych firmowych zebrano również dane dostępowe i inne dane osobowe pracowników Leonardo. Oprócz stacji komputerowych fabryki Pomigliano D'Arco zainfekowanych zostało 13 stacji spółki z grupy Alcatela, do których dodano 48 innych, używanych przez osoby prywatne, jak również firmy działające w sektorze produkcji lotniczej. Obok śledztw informatycznych fundamentalne były bardziej tradycyjne działania śledcze, które pozwoliły również na odtworzenie ścieżki szkoleniowej „cyberprzestępcy” podejrzanego zidentyfikowanego jako materialny sprawca ataku, obecnie zatrudnionego w innej firmie działającej w branży elektroniki komputerowej.
Dalsze śledztwa pozwoliły na zebranie zbieżnych wskazań winy kierownika CERT w zakresie popełnienia przestępstwaZespół ds. Gotowości na wypadek cyberbezpieczeństwa) Leonardo spa, organu odpowiedzialnego za zarządzanie atakami informatycznymi firmy.
W odniesieniu do tych ostatnich zastosowano środek ostrożności polegający na zatrzymaniu w domu, co doprowadziło do powstania poważnych oznak winy w odniesieniu do podstępnych i powtarzających się działań dowodowych w zakresie zanieczyszczenia, mających na celu fałszywe i wprowadzające w błąd przedstawienie charakteru i skutków cyberataku oraz utrudnianie dochodzeń.