Європейське космічне агентство (ЄКА / ESA) підтвердило серйозний інцидент кібербезпеки, який уже став предметом кримінального розслідування. Група, що називає себе Scattered Lapsus$ Hunters, заявляє про компрометацію внутрішніх систем агентства та викрадення близько 500 ГБ конфіденційної інформації, включно з технічною документацією на космічні апарати, місії та критично важливі операційні процедури.
Кібератака на ESA: як зламали ЄКА та що відомо про уразливість
За повідомленнями хакерів, первинний доступ до інфраструктури ЄКА нібито було отримано ще у вересні минулого року. Для проникнення зловмисники заявляють про використання вже відомої публічної уразливості в одному з зовнішніх сервісів агентства. Йдеться про типову ситуацію, коли для вразливості вже існує оновлення безпеки, але воно не було встановлене вчасно.
Особливо тривожним виглядає твердження про те, що уразливість досі не усунена, а отже, хакери зберігають персистентний доступ до частини робочих систем. Це означає не лише технічний прорахунок, а й потенційні збої у процесах керування уразливостями, моніторингу подій безпеки та контролю змін у ІТ-інфраструктурі.
Представник ЄКА підтвердив факт кібератаки та повідомив про залучення правоохоронних органів. Водночас агентство відмовилось розкривати деталі щодо масштабу витоку, типу уразливості та конкретних систем, що відповідає практиці обмеженого розкриття під час активної фази розслідування інцидентів кібербезпеки.
Які дані ESA могли опинитися у руках зловмисників
Технічна документація на супутники, місії та аварійні процедури
З оприлюднених журналістам зразків видно, що вкрадені матеріали включають як внутрішні документи ЄКА, так і файли підрядників. Серед іншого згадуються операційні інструкції, плани реагування на надзвичайні ситуації, протоколи безпеки, режими відмов та допуски космічних апаратів, дані про супутникове угруповання Earth Observation, а також документація з орієнтації та позиціонування апаратів на орбіті.
Дані підрядників ESA та національних космічних програм
За твердженням хакерів, у витік потрапили матеріали низки ключових гравців космічної індустрії, серед яких SpaceX, Airbus Group, Thales Alenia Space, OHB System AG, EUMETSAT, Sener, Teledyne, Leonardo та інші. Це вкладається у сценарій атаки на ланцюг постачання (supply chain attack), коли через один центральний вузол – у даному випадку ЄКА – зловмисники отримують доступ до конфіденційної інформації одразу кількох організацій.
Окремий блок викрадених даних, за словами групи, стосується національних та міжнародних космічних програм. Серед згаданих проєктів – національна космічна програма Греції, а також наукові місії Next Generation Gravity Mission, FORUM (Far-infrared Outgoing Radiation Understanding and Monitoring) та TRUTHS (Traceable Radiometry Underpinning Terrestrial- and Helio-Studies). Розкриття подібної інформації може ускладнити міжнародну кооперацію, процедури сертифікації та оцінки безпеки супутникових систем.
Пов’язані кібератаки на ЄКА та вразливість процесів безпеки
Поточний інцидент виглядає не ізольованим, а частиною ширшої серії атак на ESA. Невдовзі до нього, у грудні, на хакерському форумі BreachForums пропонували до продажу близько 200 ГБ даних, включно з вихідним кодом, API-токенами, конфігураціями та обліковими записами, нібито отриманими з приватних репозиторіїв Bitbucket. Це свідчить про цілеспрямований інтерес до інженерної та операційної документації агентства.
Якщо поглянути ширше, ЄКА вже не вперше стає мішенню кібератак. У 2024 році на сайті пов’язаного інтернет-магазину виявили веб-скіммер для крадіжки платіжних даних користувачів. У 2015 році SQL-уразливість на кількох доменах призвела до витоку інформації про підписників та співробітників, а ще раніше, у 2011 році, в мережі опинилися облікові дані адміністраторів і конфігураційні файли серверів.
У сукупності ці епізоди демонструють системну потребу у безперервному посиленні цифрового периметра, вдосконаленні процесів керування уразливостями, а також регулярних аудитах доступів до репозиторіїв коду та критичних сервісів.
Ризики для космічної інфраструктури та ключові уроки з кібербезпеки
Технічна документація на космічні апарати, режими відмов, алгоритми керування, інструкції з аварійного реагування – це не просто інтелектуальна власність. У контексті космічної інфраструктури такі відомості належать до критичних даних, що можуть бути використані для саботажу, промислового шпигунства або підготовки таргетованих атак на супутникові сервіси.
Профільні звіти з кібербезпеки, зокрема дослідження ENISA та Verizon DBIR, протягом останніх років фіксують стійке зростання атак на ланцюги постачання та організації, що керують критично важливою інфраструктурою. Космічний сектор, де тісно переплетені державні агентства, приватні підрядники та міжнародні консорціуми, особливо вразливий до таких сценаріїв.
Для організацій, що працюють з космічними місіями та високотехнологічними системами, цей інцидент актуалізує низку пріоритетів: жорсткий контроль за публічно доступними сервісами і своєчасне встановлення патчів; регулярні аудити доступу до репозиторіїв вихідного коду; сегментацію мереж та принцип мінімально необхідних привілеїв; відпрацьовані плани реагування на інциденти (IR) із залученням підрядників і регуляторів.
Події навколо ЄКА показують, що космічна галузь уже входить до кола пріоритетних цілей як кіберзлочинців, так і потенційно більш складних акторів. Компаніям і агентствам, залученим до космічних програм, варто проактивно переглянути стратегії захисту: посилити керування уразливостями, обмежити доступ до технічної документації за принципом «need to know», впровадити наскрізний моніторинг ланцюга постачання та регулярно тестувати готовність до інцидентів. Інвестиції у кіберстійкість сьогодні – це спосіб уникнути не лише репутаційних, а й технологічних та геополітичних наслідків завтра.
