“Uno dei primi dieci operatori mondiali nel settore aerospaziale, della difesa e della sicurezza, un partner affidabile per Governi, Istituzioni e clienti. Uno dei più grandi produttori di armi al mondo”.
Così Leonardo si presenta sul proprio sito e queste parole, lette in queste ore, dicono tutto sulla gravità di quanto è avvenuto.
“Il nostro campione nazionale per la cyber e per la difesa è stato beffato in modo molto semplice subendo un furto di 10 GB in due anni, per probabile spionaggio industriale: è gravissimo; inaudito”, commenta al nostro giornale Pierluigi Paganini, professore alla School of Law – Master in Cybersecurity presso la Luiss Guido Carli di Roma.
Indice degli argomenti
Cosa si sa del furto di dati
Gli elementi divulgati sono in un comunicato stampa della Polizia Postale.
Tutto è partito da denunce della stessa Leonardo.
Sono stati rubati 10 GB di dati, circa 100 mila documenti, in quasi due anni tra maggio 2015 e gennaio 2017 in 94 postazioni di lavoro, delle quali 33 collocate presso lo stabilimento aziendale di Pomigliano D’Arco.
“In particolare, allo stato delle acquisizioni, risulta che tale grave attacco informatico è stato condotto da un addetto alla gestione della sicurezza informatica della stessa Leonardo S.p.A., sig. Arturo D’Elia, nei confronti del quale il G.I.P. del Tribunale di Napoli ha disposto la misura della custodia cautelare in carcere”, si legge nel comunicato.
“Ci sono anche indizi di colpevolezza riguardanti la commissione del reato di depistaggio da parte del responsabile del C.E.R.T. (Cyber
Emergency Readiness Team) di Leonardo s.p.a., organismo deputato alla gestione degli attacchi informatici subiti dall’azienda.
Nei confronti di quest’ultimo, sig. Antonio Rossi, è stata applicata la misura cautelare della custodia domiciliare, risultando gravi indizi di colpevolezza con riferimento ad insidiose e reiterate attività di inquinamento probatorio, finalizzate a dare una rappresentazione falsa e fuorviante della natura e degli effetti dell’attacco informatico e ad ostacolare le indagini”.
Com’è avvenuto il furto
A quanto si sa, D’Elia ha introdotto tramite chiavetta Usb un trojan per sottrarre i file, che poi finivano su un sito “fujinama” su dominio Altervista, cancellando dopo il furto ogni traccia dalle macchine compromesse. Il trojan era in grado di avviarsi automaticamente ad ogni esecuzione del sistema operativo.
La natura dei dati rubati
La polizia postale riferisce che sono stati “esfiltrati 10 Giga di dati, pari a circa 100.000 files, afferenti alla gestione amministrativo/contabile, all’impiego delle risorse umane, all’approvvigionamento e alla distribuzione dei beni strumentali, nonché alla progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale (grassetto nostro, ndr.)”.
Una nota di Leonardo specifica che non sono dati classificati ovvero di rilevanza strategica (ossia rilevanti per la sicurezza nazionale), i quali sono posti in luoghi segretati, non connessi a internet e non a Pomigliano.
Il vero centro strategico di Leonardo, con il security operations center, è a Chieti, dove lavorano 180 persone a difendere le principali realtà nazionali ed estere clienti dell’azienda.
Perché è così grave quanto avvenuto a Leonardo
Anche la Polizia Postale scrive che è un attacco molto grave. E lo è per due motivi, secondo gli esperti. Per le modalità con cui è stato perpetrato. Per le sue conseguenze pratiche.
Le modalità. “Anche se la Polizia Postale e i media dicono che è stato un attacco cyber e un APT, dagli elementi non lo si può ipotizzare”, dice Paganini. Non c’è un codice malevole analizzabile; ma forse nemmeno esiste. La modalità di esfiltrazione eseguita è molto rumorosa e semplice”. Scettici su poterlo chiamare attacco cyber o apt anche Alberto Pelliccione, ceo di Reaqta su Linkedin e Stefano Zanero, del Politecnico di Milano, su Twitter; per gli stessi motivi. Ma Pelliccione precisa: “il malware c’è, anche se non sofisticato.
Forse più che di hacking (almeno nel senso tradizionale del termine), è corretto parlare di spionaggio industriale con insider.
La cosa rilevante è che “sicuramente in questi casi scatta un allarme. Certo è accaduto in un’azienda come Leonardo. Bisogna capire perché in questo caso l’allarme è stato ignorato; in modo doloso oppure involontario”, continua
Insomma, “è incredibile e grave che una realtà così importante strutturata, organizzata, con due livelli di protezione, interno e esterno, sia stata beffata in modo così semplice”.
Bastano dipendenti infedeli per mettere in crisi una realtà come Leonardo?
Concorda al nostro sito Danilo Bruschi, uno dei decani della cyber italiana, professore dell’Università di Milano: “il caso denota anche una carenza organizzativa di Leonardo…qualcuno avrà pensato che anche i controllori vanno controllati?”.
“Un dipendente infedele può essere sufficiente per riuscirci; ma in questo caso considerata la modalità utilizzata ci può essere persino il coinvolgimento di più attori, per ignorare l’allarme”, continua Paganini.
“Un’altra cosa strana è che non risulta un’attività di vendita di questi dati; quindi forse è un’attività su commissione per conto di un concorrente privato o di una potenza straniera, interessati alla proprietà intellettuale militare”, aggiunge.
Che lezione possiamo ricavarne
Secondo invece Michele Colajanni, ordinario di sicurezza informatica presso Unimore, “un attacco del genere può succedere anche alle realtà più strutturati. Dipendenti infedeli hanno portato all’esfiltrazione di dati persino dal governo americano, si pensi a Edward Snowden o Chelsea Manning”. Certo persone con motivazioni ben diverse rispetto a D’Elia, “che se si è fatto beccare certo non è quel genio informatico che professava di essere”, dice Colajanni a Cybersecurity360. Nel curriculum si vantava di essersi introdotto abusivamente in una base Nato.
“L’aspetto più importante che emerge dal caso è quanto sia importante coordinare tra di loro indagini di carattere tradizionale con indagini informatiche e di carattere tecnologico”, nota a Cybersecurity360 Marco Mayer, Adjunt Professor presso la Scuola Superiore Sant’ Anna di Pisa dove insegna Cyberspace and International Politics (una lunga carriera impegnata in relazioni internazionali con particolare riferimento in ambito diplomatico e di intelligence”. “I processi di digitalizzazione sono oggi talmente trasversali e pervasivi da non essere riconducibili solo al dominio cibernetico – aggiunge Mayer. Le minacce si configurano sempre più ibride e di conseguenza il lavoro della polizia di prevenzione e/o della polizia giudiziaria diventa sempre più sofisticato perché crea una preziosa convergenza tra strumenti classici e tecnologie avanzate”.
La posta si è alzata tantissimo, per la cyber security nazionale. Un dominio complesso che, come insegna questo caso, non riguarda solo la sicurezza delle reti contro possibili attacchi malware esterni. E le conseguenze sono ad ampio raggio, per la solidità economica e militare di un Paese.
