Là kết quả của các hoạt động điều tra phức tạp của Nhóm công tác về tội phạm mạng của Văn phòng Công tố viên Naples, nhằm xác định đường nét của một cuộc tấn công nghiêm trọng vào cấu trúc CNTT của Phòng Cấu trúc hàng không và Phòng Máy bay của Leonardo SpA, CNAIPIC của Cơ quan Trung ương của Cảnh sát Bưu chính và Truyền thông và Cục Campania của cùng một cơ quan đã thực hiện hai lệnh áp dụng các biện pháp phòng ngừa đối với một ex nhân viên và nhân viên của công ty nói trên, trước đây bị nghi ngờ nghiêm trọng về các tội truy cập trái phép vào hệ thống máy tính, chặn trái phép thông tin liên lạc điện tử và xử lý trái phép dữ liệu cá nhân (được quy định tương ứng bởi các điều 615-ter, đoạn 1, 2 và 3, 617một phần tư, đoạn 1 và 4, cp, và 167 Nghị định lập pháp 196/2003, liên quan đến nghệ thuật. 43 Nghị định 51/2018) và thứ hai về tội làm sai hướng (điều 375, khoản 1, chữ a và b, và 2, cp).
Đây là cách công ty Leonardo bình luận về vụ việc trong một ghi chú: "Liên quan đến các biện pháp ngày nay được cơ quan tư pháp Naples thông qua, Leonardo thông báo rằng cuộc điều tra xuất phát từ đơn khiếu nại của chính cơ quan an ninh công ty và sau đó được những người khác làm theo. Các biện pháp liên quan đến một cựu cộng tác viên không phải nhân viên của Leonardo e một nhân viên, không phải là người quản lý của công ty. Công ty, rõ ràng là bên bị thương trong vấn đề này, đã và sẽ tiếp tục hợp tác tối đa với các nhà điều tra ngay từ đầu để làm rõ vụ việc và để bảo vệ chính mình. Cuối cùng, cần lưu ý rằng dữ liệu mật hoặc chiến lược được xử lý ở các khu vực tách biệt và do đó không có kết nối và trong mọi trường hợp không có trên địa điểm Pomigliano."
Vào tháng 2017 năm XNUMX, cơ cấu của an ninh mạng của Leonardo SpA đã báo cáo lưu lượng truy cập mạng bất thường xuất phát từ một số máy trạm tại nhà máy Pomigliano D'Arco, được tạo ra bởi một phần mềm hiện vật được đặt tên “cftmon.exe”, hệ thống chống vi-rút của công ty không biết đến.
Lưu lượng truy cập bất thường được hướng tới một trang web tên "www.fujinama.altervista.org", việc tịch thu phòng ngừa đã được yêu cầu và ra lệnh, và hôm nay đã được thực hiện.
Theo khiếu nại đầu tiên từ Leonardo SpA, sự bất thường về CNTT chỉ giới hạn ở một số trạm hạn chế và được đặc trưng bởi việc rò rỉ dữ liệu được coi là không đáng kể. Các cuộc điều tra sau đó đã tái tạo lại một kịch bản sâu rộng và nghiêm trọng hơn nhiều.
Các cuộc điều tra nhấn mạnh rằng, trong gần hai năm (từ tháng 2015 năm 2017 đến tháng XNUMX năm XNUMX), cấu trúc CNTT của Leonardo SpA đã bị ảnh hưởng bởi một cuộc tấn công mạng có chủ đích và dai dẳng (được gọi là Mối đe dọa liên tục nâng cao o APT), vì nó được tạo bằng cách cài đặt mã độc trong các hệ thống, mạng và máy đích nhằm mục đích tạo và duy trì các kênh liên lạc hoạt động phù hợp để cho phép lấy trộm một lượng dữ liệu đáng kể một cách im lặng.
Đặc biệt, ở thời điểm xảy ra vụ mua lại, có vẻ như cuộc tấn công mạng nghiêm trọng này được thực hiện bởi chính nhân viên quản lý an ninh CNTT của Leonardo SpA, người mà thẩm phán điều tra của Tòa án Naples đã ra lệnh giam giữ đề phòng trong tù.
Trên thực tế, nó nổi lên rằng phần mềm ác tâm – được tạo ra cho các mục đích bất hợp pháp và việc xây dựng lại hoàn toàn đang được tiến hành - hoạt động giống như thực tế trojan mới được thiết kế, cấy ghép bằng cách cắm USB vào các PC bị theo dõi, do đó có khả năng khởi động tự động mỗi khi hệ điều hành được chạy. Do đó có thểcủa hacker chặn những gì được gõ trên bàn phím của các trạm bị nhiễm và chụp lại khung hình của những gì được hiển thị trên màn hình (màn hình.capture). Do đó, dữ liệu công ty từ nhà máy Pomigliano D'Arco của Leonardo Spa hoàn toàn nằm trong sự kiểm soát hiệu quả của kẻ tấn công, kẻ nhờ nhiệm vụ của công ty đã có thể cài đặt nhiều phiên bản tiến hóa của phần mềm độc hại, với khả năng và tác động ngày càng xâm lấn và xuyên thấu. Các cuộc điều tra cuối cùng đã có thể tái tạo lại hoạt động của thuốc chống pháp y của kẻ tấn công, người kết nối với C&C (trung tâm chỉ huy và điều khiển) của trang web web "fujinama”, sau khi tải xuống dữ liệu bị đánh cắp, đã xóa từ xa mọi dấu vết trên các máy bị xâm nhập. Do đó, cuộc tấn công mạng được thực hiện, theo bản tái thiết do Cảnh sát Truyền thông thực hiện, được phân loại là cực kỳ nghiêm trọng, vì bề mặt tấn công đã ảnh hưởng đến 94 máy trạm, trong đó 33 máy được đặt tại nhà máy của công ty ở Pomigliano D'Arco. Trên các trạm này, thông cáo báo chí của Cảnh sát viết, nhiều hồ sơ người dùng đã được cấu hình để nhân viên sử dụng, bao gồm cả những người có vai trò quản lý, tham gia vào các hoạt động kinh doanh nhằm sản xuất hàng hóa và dịch vụ có tính chất chiến lược cho an ninh và quốc phòng của đất nước. . Mức độ nghiêm trọng của vụ việc còn xuất phát từ loại thông tin bị đánh cắp, trong đó 33 GB dữ liệu hiện đã bị lấy cắp từ 10 máy mục tiêu đặt tại Pomigliano d'Arco, tương đương khoảng 100.000. các tập tin, liên quan đến quản lý hành chính/kế toán, sử dụng nguồn nhân lực, mua sắm và phân phối tư liệu sản xuất, cũng như thiết kế các bộ phận của máy bay dân dụng và máy bay quân sự dành cho thị trường trong nước và quốc tế. Ngoài dữ liệu của công ty, thông tin xác thực truy cập và thông tin cá nhân khác của nhân viên Leonardo cũng bị thu thập. Ngoài các trạm máy tính tại nhà máy Pomigliano D'Arco, 13 trạm của một công ty thuộc tập đoàn bị nhiễm virus điện thoại thông minh, trong đó 48 chiếc khác đã được bổ sung, được sử dụng bởi các cá nhân cũng như các công ty hoạt động trong lĩnh vực sản xuất hàng không vũ trụ. Bên cạnh các cuộc điều tra về CNTT, các hoạt động điều tra truyền thống hơn là cơ bản, điều này cũng giúp có thể xây dựng lại lộ trình đào tạo "tội phạm mạng" của nghi phạm hiện được xác định là tác giả chính của vụ tấn công, hiện đang làm việc cho một công ty khác hoạt động trong lĩnh vực điện tử máy tính. .
Các cuộc điều tra sâu hơn cũng giúp có thể thu thập các dấu hiệu tội lỗi tổng hợp liên quan đến việc người phụ trách CERT thực hiện tội phạm định hướng sai (Đội sẵn sàng khẩn cấp mạng) của Leonardo spa, cơ quan chịu trách nhiệm quản lý các cuộc tấn công mạng mà công ty phải gánh chịu.
Biện pháp phòng ngừa giam giữ tại nhà đã được áp dụng đối với những trường hợp sau, dẫn đến các dấu hiệu phạm tội nghiêm trọng liên quan đến các hoạt động làm ô nhiễm bằng chứng ngấm ngầm và lặp đi lặp lại, nhằm mục đích đưa ra sự trình bày sai lệch và gây hiểu nhầm về bản chất và tác động của cuộc tấn công mạng cũng như cản trở việc điều tra.