Европейское космическое агентство (ЕКА) подтвердило очередной серьезный инцидент кибербезопасности и сообщило о начале уголовного расследования. Группа злоумышленников заявляет, что получила доступ к внутренним системам агентства и похитила около 500 ГБ конфиденциальных данных, включая техническую документацию по космическим аппаратам, миссиям и критически важным операционным процедурам, а также материалы крупных подрядчиков, среди которых называют SpaceX, Airbus Group и Thales Alenia Space.
Как произошел взлом ЕКА и что утверждают хакеры
По данным, переданным СМИ группировкой, называющей себя Scattered Lapsus$ Hunters, доступ к инфраструктуре ЕКА якобы был получен еще в сентябре прошлого года. Хакеры сообщают, что использовали публично раскрытую уязвимость в одном из внешних сервисов агентства. Под этим, как правило, понимается уже известная уязвимость, для которой существуют обновления безопасности, но они не были своевременно установлены.
Особую тревогу вызывает утверждение злоумышленников о том, что уязвимость до сих пор не устранена, а значит, у них сохраняется устойчивый (персистентный) доступ к действующим системам. Подобные ситуации свидетельствуют не только о техническом пробеле, но и о проблемах в процессах управления уязвимостями и мониторинга ИБ.
Представитель ЕКА подтвердил факт киберинцидента и сообщил, что агентство уведомило судебные органы, которые ведут расследование. При этом в ЕКА отказались комментировать конкретные детали, включая заявления о масштабе утечки и характере уязвимости — стандартный подход для организаций, находящихся в фазе активного расследования.
Какие данные могли попасть к злоумышленникам
Техническая документация по спутникам и миссиям
Согласно образцам файлов, переданным журналистам, похищенные материалы включают как внутренние документы ЕКА, так и файлы подрядчиков. Среди них: операционные процедуры, планы реагирования на чрезвычайные ситуации, протоколы безопасности, режимы отказов и допуски космических аппаратов, сведения о группировке спутников Earth Observation, а также документация по ориентации и позиционированию космических аппаратов.
Данные подрядчиков и национальных программ
В числе затронутых партнеров, помимо упомянутых SpaceX, Airbus Group и Thales Alenia Space, фигурируют OHB System AG, EUMETSAT, Sener, Teledyne, Leonardo и другие компании. Это усиливает признаки цепочной атаки на поставщиков (supply chain), когда через один крупный центр — в данном случае ЕКА — злоумышленники получают доступ к чувствительной информации целого ряда организаций космической отрасли.
Отдельный слой утечки связан с национальными и международными космическими программами. Среди упомянутых проектов — национальная космическая программа Греции, а также научные миссии Next Generation Gravity Mission, FORUM (Far-infrared Outgoing Radiation Understanding and Monitoring) и TRUTHS (Traceable Radiometry Underpinning Terrestrial- and Helio-Studies). Потеря конфиденциальности такой информации может осложнить международное сотрудничество и процессы сертификации спутниковых систем.
Связь с предыдущими инцидентами и уязвимостью процессов безопасности
Нынешняя атака произошла вскоре после того, как ЕКА признало другую компрометацию: в декабре на хакерском форуме BreachForums предлагались к продаже более 200 ГБ данных, включая исходный код, API-токены, конфигурации и учетные данные, предположительно извлеченные из приватных репозиториев Bitbucket. Это указывает на то, что злоумышленники целенаправленно интересуются инженерной и операционной документацией агентства.
Нынешний инцидент не выглядит единичным эпизодом. Ранее ЕКА уже сталкивалось с заметными кибератаками: в 2024 году на сайте интернет-магазина, связанного с брендом агентства, был внедрен веб-скиммер для кражи платежных данных; в 2015 году SQL-уязвимость на трех доменах привела к утечке информации подписчиков и сотрудников; в 2011 году злоумышленники опубликовали учетные данные администраторов и конфигурационные файлы серверов. Эти случаи в совокупности подчеркивают системную важность постоянного укрепления цифрового периметра и внутренних процессов ИБ.
Риски для космической отрасли и уроки для кибербезопасности
Техническая документация по космическим аппаратам, режимам отказов, процедурам аварийного реагирования и системам управления не является просто «интеллектуальной собственностью». В контексте космической инфраструктуры она относится к критическим данным, утечка которых способна усилить риски саботажа, промышленного шпионажа и таргетированных атак на спутниковые сервисы.
Отраслевые отчеты по кибербезопасности, включая исследования ENISA и Verizon DBIR, на протяжении последних лет отмечают устойчивый рост атак на цепочки поставок и организации, управляющие критически важной инфраструктурой. Космический сектор, где тесно переплетены государственные агентства, коммерческие подрядчики и международные программы, особенно уязвим к таким сценариям.
Ключевые выводы для организаций, задействованных в космических и высокотехнологичных проектах, включают: жесткое управление публично доступными сервисами и своевременное закрытие известных уязвимостей; регулярные аудиты доступа к репозиториям исходного кода; сегментацию сетей и минимизацию привилегий; а также отработку сценариев реагирования на инциденты, включая взаимодействие с подрядчиками и регуляторами.
Нынешний инцидент с ЕКА демонстрирует, что космическая отрасль уже является одной из приоритетных целей для киберпреступников и, возможно, более сложных акторов. Организациям, работающим с космическими миссиями, спутниковыми системами и смежной критической инфраструктурой, имеет смысл пересмотреть свои подходы к кибербезопасности, уделяя особое внимание управлению уязвимостями, защите технической документации и снижению рисков в цепочке поставок. Чем раньше такие меры будут реализованы, тем ниже вероятность того, что следующая крупная утечка данных в космической сфере станет причиной уже не только репутационных, но и технологических и геополитических последствий.
