Indice dei contenuti
- Un cyberattacco scuote il settore aerospaziale italiano
- Cosa sappiamo dell’attacco
- Chi sono gli hacker di 3AM?
- Leonardo e le autorità intervengono
- Attacco alla supply chain?
- Quali saranno le conseguenze?
Un cyberattacco scuote il settore aerospaziale italiano
Un attacco ransomware ha colpito Rotorsim, una joint-venture tra il colosso italiano Leonardo e la canadese CAE, specializzata nell’addestramento di piloti di elicotteri tramite simulatori avanzati. Il gruppo hacker filorusso ThreeAM ha rivendicato l’incursione, sostenendo di aver bucato i sistemi di Leonardo, che ha prontamente smentito ogni violazione.
Secondo le prime analisi, l’attacco sarebbe stato limitato ai sistemi di Rotorsim, senza impattare le infrastrutture informatiche di Leonardo.
Tuttavia, sulla bacheca della cybergang, accessibile nel dark web, è già stato pubblicato il filetree dei dati sottratti: un elenco dettagliato che conta ben 4.335 pagine in formato PDF, suggerendo il furto di una grande quantità di informazioni.
Cosa sappiamo dell’attacco
Il cyberattacco è stato scoperto il 13 febbraio 2025 da RedACT, un gruppo italiano di esperti in sicurezza informatica. Gli hacker hanno inizialmente pubblicato solo l’1% dei dati rubati, tra cui documenti relativi agli elicotteri AW169 e AW139, modelli impiegati sia in ambito civile che militare.
Anche se il contenuto dei file non è stato ancora rivelato, la sola pubblicazione dell’elenco dei documenti è un segnale preoccupante: potrebbe trattarsi di informazioni sensibili e strategiche per il settore aerospaziale italiano.
Chi sono gli hacker di 3AM?
Il gruppo 3AM è relativamente nuovo sulla scena del cybercrime, ma negli ultimi tre anni ha già colpito 56 volte, sempre mirando a grandi aziende con l’obiettivo di estorcere riscatti milionari. A differenza di altre cybergang, preferisce la qualità alla quantità, focalizzandosi su attacchi mirati ad alto impatto.
Dai primi dettagli trapelati, sembra che gli hacker abbiano sottratto manuali tecnici, guide di installazione e documentazione sui simulatori di volo, oltre a informazioni aziendali interne. Tuttavia, resta da stabilire quanto i dati siano effettivamente riservati o se si tratti solo di documenti di uso comune.
Leonardo e le autorità intervengono
Dopo la rivendicazione dell’attacco da parte di 3AM, Leonardo ha smentito categoricamente che i propri sistemi siano stati compromessi. L’azienda ha chiarito che Rotorsim utilizza una rete indipendente, gestita da CAE, e non interconnessa con l’infrastruttura IT di Leonardo.
Nel frattempo, l’Agenzia nazionale per la cyber Security (ACN) ha avviato accertamenti per verificare l’entità della violazione e il potenziale impatto sui dati sensibili.
Attacco alla supply chain?
Gli esperti ipotizzano che l’attacco possa essere un caso di supply chain attack, ovvero un’infiltrazione attraverso un fornitore terzo piuttosto che un accesso diretto ai sistemi di Leonardo.
Questa ipotesi è supportata dal fatto che il file pubblicato dagli hacker riporta riferimenti a un’azienda fornitrice di soluzioni per la formazione e le missioni operative multi-dominio (aria, terra, mare, spazio e cyber).
Attualmente, tra i dati pubblicati risulterebbero 160.301 file per un totale di 239 GB, contenenti informazioni su corsi di formazione, manuali e simulatori. La loro effettiva criticità, tuttavia, rimane incerta.
Quali saranno le conseguenze?
Se i criminali di 3AM non otterranno il riscatto, potrebbero decidere di rilasciare pubblicamente tutti i dati esfiltrati, mettendo a rischio la sicurezza operativa di Rotorsim e delle aziende coinvolte. Tuttavia, senza una conferma sulla sensibilità delle informazioni, il reale impatto dell’attacco resta ancora da valutare.
Leonardo, nel frattempo, ha dichiarato ufficialmente su X (ex Twitter) che le notizie di una violazione dei propri sistemi sono prive di fondamento, cercando di rassicurare clienti e investitori.
