Çalışma Grubunun karmaşık soruşturma faaliyetlerinin bir sonucu olarak Siber suç Napoli Savcılığı'nın, Leonardo SpA'nın Havacılık Yapıları Bölümü ve Uçak Bölümü'nün BT yapılarına, Posta ve Haberleşme Polisi Merkezi Hizmetinin CNAIPIC'i ve Campania Departmanı'na yönelik ciddi bir saldırının ana hatlarını tanımlamayı amaçladı. Aynı servis, bir kişiye karşı ihtiyati tedbir uygulayan iki emri yerine getirdi. ex Söz konusu şirketin bir çalışanı ve bir çalışanı olup, bu çalışanın bilgisayar sistemine yetkisiz erişim, elektronik iletişimin kanuna aykırı olarak dinlenmesi ve kişisel verilerin kanuna aykırı olarak işlenmesi suçlarından ciddi olarak şüphelenilmektedir (sırasıyla 615-XNUMX. maddelerde düzenlenmiştir).ter, paragraf 1, 2 ve 3, 617c, paragraf 1 ve 4, cp ve 167 Kanun Hükmünde Kararname 196/2003, sanatla ilgili olarak. 43 Kanun Hükmünde Kararname 51/2018) ve ikincisi, yanlış yönlendirme suçu (mad. 375, fıkra 1, a ve b harfleri ve 2, cp).
Leonardo şirketi olaya ilişkin bir notta şu yorumu yaptı: "Napoli yargısının bugün aldığı önlemlerle ilgili olarak Leonardo, soruşturmanın bizzat şirket güvenliği tarafından sunulan ve daha sonra başkaları tarafından takip edilen bir şikayetten kaynaklandığını duyurdu. Tedbirler şunları ilgilendiriyor: Leonardo'nun eski çalışan olmayan işbirlikçisi e şirketin yöneticisi değil çalışanı. Bu konuda açıkça zarar gören taraf olan Şirket, olayın aydınlatılması ve kendisinin korunması için başından itibaren soruşturmacılara maksimum işbirliği sağlamıştır ve sağlamaya devam edecektir. Son olarak, sınıflandırılmış veya stratejik verilerin ayrılmış alanlarda işlendiğini ve bu nedenle bağlantısız olduğunu ve her durumda Pomigliano sitesinde bulunmadığını belirtmek gerekir."
Ocak 2017'de yapısı siber güvenlik Leonardo SpA'dan bir şirket, fabrikadaki bazı iş istasyonlarından anormal ağ trafiği geldiğini bildirmişti Pomigliano D'Arcotarafından oluşturulan yazılım Adlandırılmış eser “cftmon.exe”, kurumsal antivirüs sistemleri tarafından bilinmiyor.
Anormal trafik bir sayfaya yönlendirildi ağ isimli "www.fujinama.altervista.orgbaşlıklı bir kılavuz yayınladıTedbir amaçlı el konulması talep edilen ve emredilen bu madde bugün gerçekleştirildi.
Leonardo SpA'nın ilk şikayetine göre, BT anormalliği sınırlı sayıda istasyonla sınırlıydı ve önemsiz olduğu düşünülen verilerin dışarı sızmasıyla karakterize ediliyordu. Daha sonraki araştırmalar çok daha kapsamlı ve ciddi bir senaryoyu yeniden oluşturdu.
Soruşturmalar, Leonardo SpA'nın BT yapılarının neredeyse iki yıl boyunca (Mayıs 2015 ile Ocak 2017 arasında) hedefli ve kalıcı bir siber saldırıdan etkilendiğini ortaya çıkardı. Gelişmiş Kalıcı Tehdit o APT), önemli miktarlarda verinin sessizce sızmasına izin vermeye uygun aktif iletişim kanalları oluşturmayı ve sürdürmeyi amaçlayan hedef sistemlere, ağlara ve makinelere kötü amaçlı bir kod yüklenerek oluşturulduğundan.
Özellikle, satın almaların durumu itibarıyla, bu ciddi siber saldırının, Napoli Mahkemesi soruşturma yargıcının aleyhine cezaevinde ihtiyati gözaltı kararı verdiği Leonardo SpA'nın bir BT güvenlik yönetimi görevlisi tarafından gerçekleştirildiği görülmektedir.
Aslında ortaya çıktı ki, yazılım kötü niyetli - Tamamen yeniden inşası devam eden yasadışı amaçlar için yaratılmış - gerçek gibi davrandı Truva yeni tasarlanmış, casus bilgisayarlara USB çubukları takılarak aşılanmıştır, böylece işletim sistemi her çalıştırıldığında otomatik olarak başlatılabilir. Bu nedenle mümkün olduHacker Virüslü istasyonların klavyesinde yazılanları engelleyin ve ekranlarda görüntülenenlerin çerçevelerini yakalayın (ekran yakalama). Böylece Leonardo Spa'nın Pomigliano D'Arco tesisinden elde edilen kurumsal veriler, kurumsal görevleri sayesinde saldırganın birden fazla evrimsel versiyonunu kurabilen saldırganın tam kontrolü altındaydı. kötü amaçlı yazılımgiderek daha istilacı ve nüfuz edici yetenek ve etkilere sahip. Araştırmalar sonunda faaliyetin yeniden yapılandırılmasını mümkün kıldı. adli tıp karşıtı Sitenin C&C'sine (komuta ve kontrol merkezi) bağlanan saldırganın ağ "Fujiyama”, çalınan verileri indirdikten sonra ele geçirilen makinelerdeki tüm izleri uzaktan sildi. İletişim Polisi tarafından gerçekleştirilen yeniden yapılanmaya göre, bu şekilde gerçekleştirilen siber saldırı, saldırı yüzeyinin 94'ü şirketin Pomigliano D'Arco'daki fabrikasında bulunan 33 iş istasyonunu etkilemesi nedeniyle son derece ciddi olarak sınıflandırıldı. Polisin basın açıklamasında, bu istasyonlarda, ülkenin güvenliği ve savunması için stratejik nitelikteki mal ve hizmetlerin üretimini amaçlayan ticari faaliyetlerde bulunan, idari rollere sahip olanlar da dahil olmak üzere çalışanlar tarafından kullanılmak üzere birden fazla kullanıcı profilinin yapılandırıldığı yazıyor. . Olayın ciddiyeti, Pomigliano d'Arco'da bulunan 33 hedef makineden şu anda yaklaşık 10 GB'a eşit 100.000 Gigabayt verinin sızdırıldığı dikkate alındığında, çalınan bilgilerin türünden de ortaya çıkıyor. Dosyalarıidari/muhasebe yönetimi, insan kaynaklarının kullanımı, sermaye mallarının tedariki ve dağıtımı ile yerel ve uluslararası pazara yönelik sivil uçak ve askeri uçak bileşenlerinin tasarımı ile ilgili. Şirket verilerine ek olarak Leonardo çalışanlarının erişim bilgileri ve diğer kişisel bilgileri de toplandı. Pomigliano D'Arco fabrikasındaki bilgisayar istasyonlarına ek olarak bir grup şirketinin 13 istasyonu da virüsten etkilendi alcatel, Özel şahısların yanı sıra havacılık ve uzay üretim sektöründe faaliyet gösteren şirketler tarafından kullanılan 48 adet daha eklendi. BT araştırmalarının yanı sıra, daha geleneksel soruşturma faaliyetleri de temel nitelikteydi; bu da, şu anda saldırının maddi yazarı olarak tanımlanan ve şu anda bilgisayar elektroniği sektöründe faaliyet gösteren başka bir şirket tarafından istihdam edilen şüphelinin "siber suçlu" eğitim yolunun yeniden yapılandırılmasını mümkün kıldı. .
Daha ileri araştırmalar, CERT'ten sorumlu kişi tarafından yanlış yönlendirme suçunun işlenmesine ilişkin birbirine yakın suçluluk belirtilerinin toplanmasını da mümkün kılmıştır (Siber Acil Durum Hazırlık Ekibi), şirketin maruz kaldığı siber saldırıların yönetilmesinden sorumlu kurum olan Leonardo spa'nın.
Siber saldırının doğası ve etkileri hakkında yanlış ve yanıltıcı bir sunum yapmayı ve soruşturmaları engellemeyi amaçlayan, sinsi ve tekrarlanan delil kirliliği faaliyetlerine atıfta bulunarak ciddi suçluluk belirtilerine yol açan, ikincisine karşı evde gözaltı ihtiyati tedbiri uygulandı.