Se fosse una fiction, la storia dell’attacco informatico a Leonardo sarebbe un flop. Lenta, banale, a lieto fine. Ma non è un film. La storia è quella di due impiegati infedeli, un consulente esterno che ha infettato via malware i pc dei lavoratori di Pomigliano d’Arco, e un dirigente incaricato di stoppare questi attacchi che, scopertolo, ne avrebbe minimizzato la portata perfino a superiori e investigatori.
Il furto, secondo gli inquirenti della Procura di Napoli, sarebbe proseguito dal 2015 al 2017 fino alla denuncia dei vertici aziendali, rimasti per anni all’oscuro del grave buco nella sicurezza delle divisioni Aerostrutture e Velivoli dell’azienda partecipata al 30% dallo Stato. Un’azienda orgoglio del Bel Paese per capacità ingegneristica e capacità di mercato, che non ha mai brillato nel campo della sicurezza informatica ma che è ugualmente riuscita a conquistare importanti commesse in questo settore – dalla Nato agli Stati Uniti – e che non si aspettava un tale sgambetto.
Secondo fonti della procura il malware sarebbe stato creato e inoculato a 94 pc con una pennetta Usb da Arturo D’Elia, hacker spregiudicato e con la fedina penale non immacolata, capace di inviare all’esterno del perimetro aziendale 100mila file da 33 computer di Pomigliano per un ammontare di circa 10 Giga, l’equivalente di circa 10 film memorizzati sul proprio pc. Non una grande quantità insomma, ma dai contenuti tali da aprire molte ipotesi: da quella di un’operazione di controspionaggio interno finita male alle lotte di potere tra dirigenti fino al furto di dati per una potenza straniera interessata ai progetti di Leonardo su droni e aerei militari.
Camuffato con il nome di un processo di Windows, Ctfmon.exe, il malware sarebbe una sorta di incrocio tra un keylogger, un software che registra l’immissione di comandi tramite tastiera, e un RAT (Remote Access Tool), uno strumento di accesso remoto per catturare le immagini sullo schermo del pc attaccato (“screenshot capturing”).
Le tracce del furto adesso però sono scomparse. Il server di comando e controllo che riceveva i dati esfiltrati su un sito di Altervista è stato sequestrato solo pochi giorni fa, a distanza di oltre tre anni dalla denuncia. Motivo? Chissà. Lentezze giudiziarie o un’attività investigativa ancora in corso.
Peggio ancora, è sparita la copia del “paziente zero”, il primo pc infettato ad essere clonato per l’analisi forense, trafugato dall’armadio della security aziendale, situato pare all’interno di un open space e di cui tutti sapevano il posto delle chiavi, mentre la copia consegnata alla polizia giudiziaria appare oggi illeggibile.
Cosa che avrà mandato su tutte le furie il capo della procura in trincea, il dott. Giovanni Melillo, esperto di trojan (cavalli di troia) e appassionato di tematiche cyber.
Secondo Leonardo i dati rubati non sono di grande rilevanza, ma questo è quello che dicono tutti quando vengono “bucati” per timore di una perdita reputazionale. Se non possiamo imputare a Leonardo l’incapacità di proteggersi dall’esterno, è banale osservare che non ha saputo valutare i rischi portati dall’insider (l’attaccante interno) da loro assunto.
Qui però c’è un lieto fine: i due sono stati consegnati alla giustizia. Ieri invece abbiamo visto un altro film. L’azienda di cybersecurity statunitense FireEye, tra le più importanti al mondo, è stata violata da un gruppo di hacker russi che gli hanno sottratto strumenti avanzati per testare la sicurezza delle difese della clientela. Stavolta si tratta di un film horror. Tremiamo all’idea dell’uso che potranno farne i bad guys.