Οι ιταλικές αρχές συνέλαβαν δύο άτομα που λέγεται ότι χρησιμοποίησαν malware για να κλέψουν εμπιστευτικά δεδομένα και στρατιωτικά μυστικά από την εταιρεία στον τομέα της αεροδιαστημικής και της άμυνας, Leonardo S.p.A.
Η Leonardo είναι μια από τις μεγαλύτερες εταιρείες του κλάδου, με το 30% να ανήκει στο ιταλικό Υπουργείο Οικονομικών. Ως πολυεθνική εταιρεία, έχει την έδρα της στην Ιταλία αλλά έχει μεγάλη παρουσία στο Ηνωμένο Βασίλειο και στις Ηνωμένες Πολιτείες.
Οι πληροφορίες που διέρρευσαν από ιταλικά μέσα ενημέρωσης, αναφέρουν ότι η αστυνομία συνέλαβε ένα άτομο (λέγεται ότι ήταν πρώην υπάλληλος της εταιρείας) για τη χρήση USB keys με σκοπό τη μόλυνση 94 workstations με ένα trojan που ονομάζεται “cftmon.exe”. Πιθανότατα, το trojan πήρε το όνομά του από το νόμιμο αρχείο των Windows που βρίσκεται στο C: \ Windows \ system32 \ ctfmon.exe, για να είναι πιο δύσκολη η ανίχνευσή του.
Το malware λέγεται ότι χρησιμοποιούνταν εδώ και περίπου δύο χρόνια, μεταξύ του 2015 και του 2017, για την κλοπή και την αποστολή δεδομένων σε έναν command and control server στο “fujinama.altervista.org”.
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Αυτός ο C2 server έχει κλείσει από την Polizia di Stato. Το μήνυμα που εμφανίζεται πλέον στο site, είναι το ακόλουθο:
Τα κλεμμένα δεδομένα περιελάμβαναν εμπιστευτικές λογιστικές πληροφορίες, στρατιωτικά μυστικά και σχέδια αεροσκαφών.
“Συνολικά, αφαιρέθηκαν δεδομένα μεγέθους 10 gigabyte, δηλαδή περίπου 100.000 αρχεία, που σχετίζονταν με τη διοικητική-λογιστική διαχείριση, το ανθρώπινο δυναμικό, την προμήθεια και τη διανομή αγαθών, καθώς και το σχεδιασμό εξαρτημάτων πολιτικών και στρατιωτικών αεροσκαφών για την ιταλική και διεθνή αγορά. Επίσης, κλάπηκαν credentials που έδιναν πρόσβαση σε προσωπικές πληροφορίες υπαλλήλων της Leonardo“, αναφέρουν τα ιταλικά μέσα ενημέρωσης.
Το δεύτερο άτομο που συνέλαβαν οι αρχές ήταν ο επικεφαλής της ομάδας έκτακτης ανάγκης στον κυβερνοχώρο (CERT) της Leonardo, ο οποίος τέθηκε σε κατ’ οίκον περιορισμό, για παραπλάνηση σχετικά με την επίθεση και για παρεμπόδιση της έρευνας.
Οι εισαγγελείς δηλώνουν ότι τα συστήματα ασφαλείας της εταιρείας δεν μπόρεσαν να εντοπίσουν το κακόβουλο λογισμικό.
Η Leonardo εξέδωσε μια ανακοίνωση, στην οποία ανέφερε ότι η εταιρεία ξεκίνησε έρευνα, μετά από υποβολή επίσημης καταγγελίας στο δικαστήριο.
“Όσον αφορά στα τρέχοντα μέτρα που έχουν υιοθετηθεί από το δικαστικό σώμα της Νάπολης, η Leonardo ανακοινώνει ότι ξεκινά έρευνα… Η Εταιρεία έχει προσφέρει τη μέγιστη συνεργασία από την αρχή και θα συνεχίσει να το κάνει για να επιτρέψει στους ερευνητές να διευκρινίσουν το συμβάν“, είπε, μεταξύ άλλων, η Leonardo.
Πηγή: Bleeping Computer