Un attacco ransomware e un cospicuo furto di dati ai danni di Leonardo. La notizia è rimbalzata sui social nella serata di giovedì e l’azienda aerospaziale si è affrettata a smentire attraverso un laconico post su X dal suo account ufficiale.
Sul “sito di rappresentanza” del gruppo filorusso ThreeAM sul Dark Web, però, viene indicato espressamente il nome della società controllata dal Ministero dell’Economia e della Finanza. In realtà, i dati esfiltrati dai cyber criminali sembrano provenire da una struttura di addestramento con sede a Sesto Calende, alla cui gestione Leonardo partecipa con un’altra azienda.
Gli indizi nell’elenco dei file
Il gruppo ThreeAM, che secondo Symantec avrebbe collaborato in passato con il famigerato LockBit, utilizza la stessa strategia di azione di altre gang specializzate in estorsioni tramite ransomware. I cyber criminali pubblicano sul Dark Web un elenco delle loro vittime e alcuni file per dimostrare la veridicità della rivendicazione, pretendendo poi il pagamento di un riscatto affinché i dati non vengano resi pubblici.
In questo caso, i pirati informatici indicano come vittima Leonardo, definendola “una società globale operante nei settori aerospaziale, della difesa e della sicurezza, che fornisce elicotteri, elettronica per la sicurezza, aeronautica e sistemi di difesa spaziale. L’azienda è stata fondata nel 1948 e ha sede a Roma, Italia”. Tutto giusto, a parte il fatto che i dati sottratti non provengono dai sistemi di Leonardo, come l’azienda si è affrettata a comunicare sui social network.
La vera vittima e il legame con Leonardo
L’unico documento pubblicato da ThreeAM è un file di testo che riporta l’elenco dei file sottratti, con tanto di directory. Si tratta per lo più di cartelle personali, dalle quali emergono però i nomi degli utenti a cui sono stati rubati i dati. E gli indizi portano in un’altra direzione. Una breve ricerca sul web ha permesso a Wired di individuare l’azienda per cui lavorano. Si tratta di Canadian Aviation Electronics (CAE), che sul suo sito ufficiale si definisce “un’azienda ad alta tecnologia che fornisce soluzioni di formazione e supporto operativo ai clienti globali nei settori della difesa e della sicurezza”. Nello specifico, CAE si occupa di fornire supporto per l’addestramento e le missioni a livello militare.
I dipendenti che compaiono nell’elenco sono tutti italiani e risultano essere impiegati presso la sede di Sesto Calende, dove CAE nel 2003 ha avviato una joint venture con Leonardo chiamata Rotorsim, dedicata all’addestramento di elicotteristi. Il sito scelto è quello della ex SIAI-Marchetti. Anche i nomi dei documenti compresi nell’elenco pubblicato dai cyber criminali, in cui compaiono riferimenti anche a progetti che coinvolgono altre aziende (tra cui una società specializzata in realtà virtuale) confermerebbero questa tipologia di attività.
Insomma: Leonardo sarebbe coinvolta solo marginalmente e a rischiare davvero grosso nel caso di una pubblicazione dei dati sarebbe CAE. Il leak, infatti, sembrerebbe comprendere progetti, manuali operativi e qualsiasi altro tipo di informazione riguardante i sistemi di simulazione dell’azienda. Ironicamente, l’attacco è arrivato nello stesso giorno in cui l’azienda ha annunciato i risultati finanziari del trimestre (1,2 miliardi di dollari di fatturato e profitti più che raddoppiati rispetto all’anno precedente) e un cambio al vertice del Consiglio di Amministrazione. Che tempismo…
Fonte : Wired
