Европейское космическое агентство (ЕКА) подтвердило очередную масштабную утечку данных и сообщило СМИ, что в связи и этим инцидентом уже начато уголовное расследование. Злоумышленники утверждают, что похитили 500 ГБ важных данных, включая информацию об операционных процедурах, космических аппаратах и миссиях, документацию по подсистемам и проприетарные материалы подрядчиков — SpaceX, Airbus Group, Thales Alenia Space и других.
На прошлой неделе хак-группа Scattered Lapsus$ Hunters заявила журналистам издания The Register, что получила доступ к серверам ЕКА еще в сентябре прошлого года, эксплуатируя некую публично раскрытую уязвимость. При этом, по словам атакующих, эта брешь до сих пор не закрыта, что дает им постоянный доступ к действующим системам организации.
«ЕКА информирует судебные органы, которые займутся расследованием этого киберинцидента», — заявил представитель Европейского космического агентства изданию. При этом в ведомстве отказались отвечать на конкретные вопросы, связанные с заявлениями хакеров.
Стоит отметить, что взлом произошел всего через неделю после того, как ЕКА признало декабрьскую компрометацию, когда на хакерском ресурсе BreachForums выставили на продажу более 200 ГБ данных.
Хакер предложил продать информацию, включая файлы из приватных репозиториев Bitbucket. В своем сообщении злоумышленник утверждал, что похитил исходный код, токены API и доступа, файлы конфигурации, учетные данные и конфиденциальные документы.
Теперь, судя по заявлениям Shiny Lapsus$ Hunters и образцам файлов, изученных журналистам, украденные в ходе другой атаки материалы включают как внутренние документы самой организации, так и файлы подрядчиков. Среди них — данные об операционных процедурах, планы на случай чрезвычайных ситуаций, протоколы безопасности, допуски космических аппаратов и режимы отказов, детали спутниковой группировки Earth Observation и другие документы, связанные с управлением ориентацией и позиционированием спутников.
Данные подрядчиков, похищенные в результате взлома, принадлежат компаниям SpaceX, Airbus Group, Thales Alenia Space, OHB System AG, EUMETSAT, Sener, Teledyne, Leonardo и другим крупным игрокам космической отрасли.
Кроме того, похищенные файлы содержат конфиденциальную информацию о различных космических программах и миссиях: национальной космической программе Греции, проектах Next Generation Gravity Mission, FORUM (Far-infrared Outgoing Radiation Understanding and Monitoring) и TRUTHS (Traceable Radiometry Underpinning Terrestrial- and Helio-Studies).
Вымогатели утверждают, что представителям ЕКА было известно об утечке как минимум за неделю до официального заявления, и они уже скачивали образцы украденных данных.
Нужно отметить, что это далеко не первые киберинциденты в истории организации. Например, в 2024 году, незадолго до новогодних праздников, был взломан интернет-магазин ЕКА и на страницу оплаты заказов внедрили веб-скиммер. Тогда в агентстве заявили, что не управляют собственным онлайн-магазином, и он не размещается в инфраструктуре агентства.
Также в 2015 году три домена ЕКА были скомпрометированы через SQL-уязвимость, что привело к краже и утечке информации тысяч подписчиков и части сотрудников. А в 2011 году неизвестные взломали системы ЕКА и опубликовали учетные данные администраторов, систем управления контентом, FTP и конфигурационные файлы Apache-сервера. Тогда ведомство утверждало, что атака не затронула внутренние сети.
