Инсайдеры похитили 100 тыс. файлов у крупного оборонного подрядчика

Сотрудники правоохранительных органов Италии арестовали двух подозреваемых в похищении конфиденциальных данных у крупного итальянского машиностроительного холдинга Leonardo с помощью вредоносного ПО.

Leonardo – один из крупнейших в мире оборонных подрядчиков. 30% холдинга принадлежит Министерству экономики и финансов Италии. Хотя штаб-квартира Leonardo находится в Италии, компания является многонациональной с представительствами в США и Великобритании.

Как сообщают итальянские СМИ, полиция арестовала одного подозреваемого в заражении 94 рабочих станций трояном cftmon.exe с помощью USB-ключей. Свое название троян, похоже, получил по названию легитимного локального файла Windows, расположенного в C:\Windows\system32\ctfmon.exe, чтобы избежать обнаружения. Вредоносное ПО использовалось в 2015-2017 годах для похищения данных Leonardo и отправки их на подконтрольный злоумышленникам сервер fujinama.altervista.org. С тех пор сервер арестован, и на сайте отображается соответствующее уведомление.

Как пояснили в прокуратуре, вредоносному ПО удавалось так долго оставаться незамеченным, поскольку оно было создано сотрудником самой компании и незнакомо решениям безопасности.

В общей сложности злоумышленники похитили у Leonardo порядка 100 тыс. файлов общим объемом 10 ГБ. В перечень похищенных данных входит конфиденциальная бухгалтерская информация, засекреченные военные документы, чертежи гражданских и военных самолетов, а также информация из отдела кадров.

Руководитель команды Leonardo по реагированию на инциденты безопасности был помещен под домашний арест по обвинению в искажении масштабов атаки и препятствованию расследованию. Однако сама компания заявляет, что основанием для проведения расследования послужило обращение в полицию сотрудников службы безопасности Leonardo, а задержанный подозреваемый был внештатным сотрудником.

«Компания, которая, очевидно, является потерпевшей стороной в этом деле, с самого начала обеспечивала максимальное сотрудничество и будет сотрудничать впредь, чтобы помочь следователям прояснить инцидент, а также для собственной защиты. Наконец, следует отметить, что секретные и стратегические данные обрабатываются на отдельных участках, без связи, а не на заводе в Помильяно», — сообщается в уведомлении компании.

Источник: https://www.securitylab.ru/news/514591.php