После комплексных расследований Рабочей группы по киберпреступности прокуратуры Неаполя, направленной на определение контуров серьезного нападения на ИТ-структуры подразделения Aerostructures и авиационного подразделения Leonardo SpA, CNAIPIC Центральной службы полиции почты и связи и отделение Кампании той же службы два постановления о применении мер предосторожности против ex Сотрудник и служащий вышеупомянутой компании, первыми серьезно подозреваемые в преступлениях, связанных с несанкционированным доступом к компьютерной системе, незаконным перехватом электронных сообщений и незаконной обработкой персональных данных (соответственно, предусмотренных статьями 615-тер, абзацы 1, 2 и 3, 617кватер, пункты 1 и 4, гл. и 167 законодательного декрета 196/2003 в отношении ст. 43 Законодательного декрета 51/2018) и, во-вторых, о преступлении, связанном с отвлечением внимания (статья 375, пункт 1, буквы а, b и 2 Уголовного кодекса Италии).
Так, компания Leonardo в записке прокомментировала инцидент: Что касается текущих мер, принятых судебной системой Неаполя, Леонардо объявляет, что расследование началось с жалобы, поданной той же службой безопасности компании, за которой затем последовали другие. Эти меры касаются бывший сотрудник, не работающий у Леонардо e неисполнительный сотрудник компании. Компания, очевидно потерпевшая в этом деле, с самого начала обеспечивала и будет продолжать оказывать максимальное содействие следователям для прояснения инцидента и защиты. Наконец, следует отметить, что секретные или стратегические данные обрабатываются в отдельных областях и, следовательно, без связи и в любом случае не присутствуют на сайте Помильяно.
В январе 2017 г. в составе информационная безопасность di Leonardo SpA сообщила об аномальном сетевом трафике, исходящем с некоторых рабочих станций завода в Помильяно д'Арко, порожденный программное обеспечение артефакт назван "Cftmon.exe", неизвестное корпоративным антивирусным системам.
Аномальный трафик направлялся на страницу Web называемый www.fujinama.altervista.org , из которых была запрошена и назначена превентивная конфискация, и сегодня она осуществлена.
Согласно первой жалобе Leonardo SpA, аномалия ИТ была ограничена небольшим количеством рабочих станций и характеризовалась кражей данных, которые считались несущественными. Последующие расследования реконструировали гораздо более обширный и суровый сценарий.
Исследования показали, что в течение почти двух лет (с мая 2015 года по январь 2017 года) ИТ-структуры Leonardo SpA подвергались целенаправленной и постоянной кибератаке (известной как Усовершенствованная стойкая угроза o APT), поскольку он создается путем установки в целевых системах, сетях и машинах вредоносного кода, нацеленного на создание и поддержание активных каналов связи, подходящих для тихой эксфильтрации значительных объемов данных.
В частности, на этапе приобретения кажется, что эта серьезная кибератака была осуществлена менеджером по ИТ-безопасности самой компании Leonardo SpA, в отношении которого GIP Суда Неаполя назначил меру предварительного заключения в тюрьму.
Фактически выяснилось, что программное обеспечение злой – созданный для незаконных целей, полная реконструкция которого ведется, вела себя как настоящий троянец недавно спроектированный, инокулированный путем вставки USB-накопителей в отслеживаемые ПК, таким образом, он может запускаться автоматически каждый раз при запуске операционной системы. Поэтому было возможнохакер перехватить то, что было набрано на клавиатуре зараженных станций, и захватить кадры того, что отображалось на экранах (захват экрана). Таким образом, данные компании завода Помильяно Д'Арко в Леонардо Спа фактически полностью контролировали злоумышленник, который, благодаря своим обязанностям в компании, со временем смог установить более эволюционные версии вредоносных программсо все более агрессивными и проникающими способностями и эффектами. Наконец, исследования позволили реконструировать деятельность противогрибковый злоумышленника, подключившегося к C&C (центр управления) сайта Web фудзинама», Скачав украденные данные, он удаленно удалил все следы на скомпрометированных машинах. Согласно реконструкции, проведенной Коммуникационной полицией, компьютерная атака, проведенная таким образом, классифицируется как чрезвычайно серьезная, поскольку поверхность атаки затронула 94 рабочих места, из которых 33 расположены на заводе компании в Помильяно д'Арко. . На этих станциях, как сообщается в пресс-релизе, были настроены несколько профилей пользователей для использования сотрудниками, даже с управленческими обязанностями, занятыми бизнес-деятельностью, направленной на производство товаров и услуг стратегического характера для безопасности и обороны страны. Серьезность аварии также определяется типом украденной информации, учитывая, что с 33 целевых машин, расположенных в Помильяно д'Арко, в настоящее время было извлечено 10 гигабайт данных, что составляет около 100.000 XNUMX файлов, относящиеся к административному / бухгалтерскому менеджменту, использованию человеческих ресурсов, закупке и распределению капитальных товаров, а также к проектированию компонентов для гражданских и военных самолетов для внутреннего и международного рынка. Помимо данных компании, также были собраны учетные данные и другая личная информация сотрудников Leonardo. Помимо компьютерных станций завода Pomigliano D'Arco были заражены 13 станций компании группы. Алкатель, к которым было добавлено 48 других, используемых частными лицами, а также компаниями, работающими в секторе аэрокосмического производства. Наряду с ИТ-расследованиями фундаментальными были более традиционные следственные действия, которые также позволили восстановить «киберпреступный» путь обучения подозреваемого, идентифицированного как материальный исполнитель атаки, который в настоящее время работает в другой компании, работающей в сектор компьютерной электроники.
Дальнейшие расследования позволили собрать также совпадающие доказательства вины в совершении преступления, связанного с неправильным указанием руководителя CERT (Группа готовности к кибербезопасности) Leonardo spa, органа, ответственного за управление ИТ-атаками, которым подверглась компания.
К последним была применена мера предосторожности в виде домашнего содержания под стражей, что привело к серьезным признакам вины со ссылкой на коварные и неоднократные доказательные действия по загрязнению, направленные на предоставление ложного и вводящего в заблуждение представления о характере и последствиях кибератаки. и препятствовать расследованиям.