Po zložitých vyšetrovacích činnostiach pracovnej skupiny pre počítačovou kriminalitou neapolského prokurátora zameraného na vymedzenie obrysov závažného útoku na IT štruktúry divízie leteckých stavieb a leteckej divízie Leonarda SpA, CNAIPIC ústrednej služby poštovej a komunikačnej polície a oddelenia tej istej služby v Kampánii. dve vyhlášky, ktoré uplatňujú preventívne opatrenia proti a ex zamestnanec a zamestnanec vyššie uvedenej spoločnosti, z ktorých prvý je vážne podozrivý zo zločinov neoprávneného prístupu k počítačovému systému, nezákonného odpočúvania elektronických komunikácií a nezákonného spracúvania osobných údajov (podľa článkov 615-ter, body 1, 2 a 3, 617quater, body 1 a 4, trestného zákona a 167 legislatívneho dekrétu 196/2003, vo vzťahu k čl. 43 legislatívneho dekrétu 51/2018) a po druhé o trestnom čine zneužívania smerovania (článok 375 ods. 1 písm. A) aab) a 2 talianskeho trestného zákonníka).
Spoločnosť Leonardo teda v poznámke komentovala, čo sa stalo: "Pokiaľ ide o súčasné opatrenia prijaté v neapolskom súdnictve, Leonardo oznamuje, že vyšetrovanie vychádzalo zo sťažnosti predloženej rovnakou bezpečnostnou spoločnosťou, po ktorej nasledovali ďalšie. Opatrenia sa týkajú a bývalý spolupracovník, ktorý nie je zamestnaný v spoločnosti Leonardo e nevýkonný zamestnanec spoločnosti. Spoločnosť, ktorá je v tejto záležitosti zjavne poškodenou stranou, poskytovala od začiatku a bude naďalej poskytovať maximálnu súčinnosť vyšetrovateľom pri objasňovaní incidentu a svojej vlastnej ochrane. Na záver je potrebné poznamenať, že utajované alebo strategické údaje sa spracúvajú v segregovaných oblastiach, a teda bez prepojenia a v žiadnom prípade sa nenachádzajú v lokalite Pomigliano."
V januári 2017 bola štruktúra spoločnosti kyber ochrana di Leonardo SpA nahlásil anomálny prenos v sieti odchádzajúci z niektorých pracovných staníc závodu v Pomigliano D'Arco, generované a softvér pomenovaný artefakt "Cftmon.exe", neznáme pre podnikové antivírusové systémy.
Anomálna prevádzka smerovala na stránku web menovaný "www.fujinama.altervista.org", z ktorých je preventívny zaistenie vyžiadané a nariadené a dnes vykonané.
Podľa prvej sťažnosti Leonarda SpA sa anomália IT obmedzila na malý počet pracovných staníc a vyznačovala sa exfiltráciou údajov, ktoré sa nepovažovali za významné. Následné vyšetrovania zrekonštruovali oveľa rozsiahlejší a závažnejší scenár.
Vyšetrovanie ukázalo, že takmer dva roky (od mája 2015 do januára 2017) boli IT štruktúry spoločnosti Leonardo SpA zasiahnuté cieleným a pretrvávajúcim kybernetickým útokom (známy ako Pokročilá pretrvávajúca hrozba o APT), pretože je vytvorený inštaláciou škodlivého kódu do cieľových systémov, sietí a strojov zameraného na vytváranie a udržiavanie aktívnych komunikačných kanálov vhodných na umožnenie tichej exfiltrácie významného množstva údajov.
Najmä za stavu akvizícií sa zdá, že tento závažný kybernetický útok vykonal bezpečnostný manažér IT samotného Leonarda SpA, proti ktorému GIP Neapolského súdu nariadil opatrenie vyšetrovacej väzby vo väzení.
V skutočnosti sa ukázalo, že softvér zlomyseľný - vytvorený na nezákonné účely, ktorých kompletná rekonštrukcia práve prebieha - choval sa ako skutočný trójsky novo vyvinuté, naočkované vložením kľúčov USB do počítača typu spied, čo umožňuje automatické spustenie pri každom spustení operačného systému. Preto bolo možnéprůnikář zachytiť to, čo bolo zadané na klávesnici infikovaných staníc, a zachytiť snímky toho, čo sa zobrazilo na obrazovkách (snímanie obrazovky). Údaje o spoločnosti v závode Pomigliano D'Arco spoločnosti Leonardo Spa tak mali v skutočnosti úplnú kontrolu nad útočníkom, ktorý vďaka svojim povinnostiam vo vlastnej spoločnosti mohol časom inštalovať evolučnejšie verzie systému malwareso stále invazívnejšími a prenikavejšími schopnosťami a účinkami. Nakoniec vyšetrovania umožnili rekonštrukciu činnosti agentúry antiforenzný útočníka, ktorý sa pripojením k C&C (veliteľské a riadiace stredisko) stránky web "fujinama”, Po stiahnutí ukradnutých údajov vzdialene odstránil všetky stopy na kompromitovaných strojoch. Podľa rekonštrukcie uskutočnenej komunikačnou políciou je takto vykonaný počítačový útok klasifikovaný ako mimoriadne závažný, pretože povrch útoku zasiahol 94 pracovných staníc, z toho 33 v podnikovom závode v Pomigliano D'Arco . Na týchto staniciach, píše sa v tlačovej správe, bolo nakonfigurovaných viac užívateľských profilov používaných zamestnancami, dokonca aj s manažérskymi povinnosťami, ktorí sa zaoberajú obchodnými činnosťami zameranými na výrobu tovarov a služieb strategického charakteru pre bezpečnosť a obranu krajiny. Závažnosť nehody vyplýva aj z druhu odcudzených informácií, berúc do úvahy, že z 33 cieľových strojov umiestnených v Pomigliano d'Arco bolo v súčasnosti vyexportovaných 10 Giga dát, čo je zhruba 100.000 XNUMX. súbory, týkajúce sa administratívneho / účtovného riadenia, využívania ľudských zdrojov, obstarávania a distribúcie investičného majetku, ako aj návrhu komponentov pre civilné lietadlá a vojenské lietadlá pre domáci a medzinárodný trh. Okrem podnikových údajov boli zhromaždené aj prístupové údaje a ďalšie osobné informácie zamestnancov programu Leonardo. Okrem počítačových staníc v závode Pomigliano D'Arco bolo infikovaných 13 staníc spoločnosti skupiny Alcatel, ku ktorým bolo pridaných ďalších 48, ktoré používajú súkromné osoby aj spoločnosti pôsobiace v leteckom priemysle. Popri vyšetrovaniach v oblasti informačných technológií boli zásadné tradičnejšie vyšetrovacie činnosti, ktoré tiež umožnili rekonštruovať výcvikovú cestu „počítačového zločinca“ podozrivého identifikovaného ako materiálny páchateľ útoku, ktorý je v súčasnosti zamestnaný v inej spoločnosti pôsobiacej v sektor počítačovej elektroniky.
Ďalšie vyšetrovania umožnili zhromaždiť aj zbiehavé dôkazy o vine zo spáchania trestného činu misdirection manažérom CERT (Tím pripravenosti na kybernetickú núdzu) spoločnosti Leonardo spa, orgánu zodpovedného za riadenie IT útokov, ktoré spoločnosť utrpela.
Na poslednú z nich sa uplatnilo preventívne opatrenie väzby, ktoré malo za následok vážne známky viny vo vzťahu k zákerným a opakovaným dôkazným činnostiam znečisťovania, ktorých cieľom bolo poskytnúť nepravdivé a zavádzajúce informácie o povahe a účinkoch počítačového útoku a brániť vyšetrovaniu.