Niewielka liczba serwerów, ale ogrom ryzyka. Wyciek danych ESA pokazuje, jak wrażliwe są systemy naukowe.
Europejska Agencja Kosmiczna oficjalnie przyznaje, iż padła ofiarą poważnego incydentu cybernetycznego. Haker posługujący się pseudonimem 888 twierdzi, iż wykradł ponad 200 GB danych z serwerów naukowych ESA – od kodu źródłowego po tokeny dostępu. Agencja uspokaja, iż wewnętrzna sieć korporacyjna pozostała nienaruszona, ale skala upublicznionych informacji pokazuje, iż stawka tej rozgrywki jest znacznie większa niż wstępne komunikaty.
ESA is aware of a recent cybersecurity issue involving servers located outside the ESA corporate network. We have initiated a forensic security analysis—currently in progress—and implemented measures to secure any potentially affected devices.
Our analysis so far indicates that…
ESA potwierdza atak, ale tonuje nastroje
ESA przyznała, iż doszło do problemu w zakresie cyberbezpieczeństwa dotyczącego serwerów znajdujących się poza jej siecią korporacyjną. Chodzi o zewnętrzne maszyny obsługujące wspólne działania inżynieryjne i naukowe – narzędzia, z których korzystają zespoły badawcze rozsiane po świecie.
W oficjalnym stanowisku agencja podkreśla, iż mowa o bardzo niewielkiej liczbie zewnętrznych serwerów i iż wewnętrzna infrastruktura korporacyjna ESA nie została naruszona. Równocześnie realizowane są prace zespołów ds. bezpieczeństwa: uruchomiono analizę forensyczną i wdrożono środki zaradcze, które mają zabezpieczyć wszystkie potencjalnie zagrożone urządzenia. Poinformowano także partnerów i zespoły korzystające z tych systemów.
Co wyciekło? Kod źródłowy, tokeny, dokumentacja
Na jednym z forów cyberprzestępczych pojawiła się oferta sprzedaży bazy danych ESA o wadze ponad 200 GB. Jej autorem jest haker posługujący się nickiem 888, który szczegółowo opisuje, co wpadło w jego ręce.
Według tej relacji pakiet obejmuje m.in.:
- poufną dokumentację techniczną;
- kod źródłowy zastrzeżonego systemu wykorzystywanego w projektach ESA;
- tokeny API i inne żetony dostępu do usług;
- dane uwierzytelniające wykorzystywane w systemach ESA.
To mieszanka, której wartość wykracza daleko poza pojedynczy wyciek. Kod źródłowy można analizować pod kątem błędów i podatności, w dokumentacji szuka się schematów architektury, a tokeny i dane uwierzytelniające mogą – jeżeli nie zostaną gwałtownie unieważnione – otworzyć drogę do wtórnych ataków.
ESA przyznaje, iż serwery, o których mowa, wspierały niejawne, wspólne prace inżynieryjne w społeczności naukowej. To nie są serwisy marketingowe, ale systemy pracujące blisko faktycznych projektów.
Naukowcy na celowniku cyberszpiegów
Jednym z najbardziej niepokojących wątków jest to, iż znów celem padły serwery związane z działalnością naukową, a nie systemy biznesowe. Takie platformy bywają projektowane z myślą o współpracy i wygodzie – udostępnianiu repozytoriów, dokumentów, środowisk testowych – co z definicji oznacza więcej punktów styku ze światem zewnętrznym.
Tutaj układ sił jest szczególnie wrażliwy. Z jednej strony naukowcy potrzebują otwartych, elastycznych narzędzi, by móc współpracować ponad granicami państw i instytucji. Z drugiej te same narzędzia, jeżeli nie są rygorystycznie zabezpieczone, stają się idealnym celem dla grup, które nie szukają przypadkowych ofiar, ale strategicznych punktów wejścia.
W grę wchodzą nie tylko potencjalne straty finansowe czy reputacyjne. Wykradziony kod i dokumentacja mogą zostać wykorzystane do rekonstrukcji wrażliwych elementów infrastruktury kosmicznej czy systemów naziemnych. Dla cyberprzestępców to waluta. Dla wywiadów państwowych – potencjalnie bezcenne źródło wiedzy.
Dlaczego ten wyciek jest groźny?
Analizy w sieci wskazują, iż część przejętych danych może być powiązana z misjami naukowymi ESA, w tym z przygotowywanym teleskopem Ariel, który ma wystartować pod koniec dekady, by badać atmosfery egzoplanet. jeżeli w pakiecie znajdują się fragmenty kodu, konfiguracje czy pliki infrastrukturalne związane z takimi projektami, konsekwencje incydentu mogą być długofalowe.
Przede wszystkim otwiera to drogę do dokładnego poznania sposobu, w jaki zbudowane są systemy sterujące i przetwarzające dane. Ujawnione wzorce i biblioteki mogą także zostać wykorzystane poza ESA – zarówno legalnie, jak i w kontekście budowy złośliwego oprogramowania.
Pamiętajmy także, iż każda kompromitacja kodu i narzędzi używanych w misjach kosmicznych wymusza dodatkowe audyty, przegląd modułów i aktualizację procedur bezpieczeństwa. To oznacza czas, pieniądze i opóźnienia, których agencje kosmiczne z reguły wolałyby uniknąć.
To nie pierwszy raz. ESA i NASA z ciągiem dalszym problemów
Opisywany incydent tak naprawdę nie jest odosobniony. W grudniu 2024 r. przestępcy wstrzyknęli fałszywą stronę płatności do oficjalnego sklepu ESA, by wykradać dane klientów. Jeszcze wcześniej, bo w 2015 r., zaatakowano kilka serwisów agencji, przejmując informacje o pracownikach i subskrybentach.
Co to wszystko łączy? Ataki koncentrowały się na platformach i usługach hostowanych poza główną siecią korporacyjną. Formalnie są osobno, ale z punktu widzenia wizerunku czy zaufania opinii publicznej to wciąż ESA. Seria podobnych zdarzeń sugeruje, iż to nie pojedynczy przypadek, ale systemowy problem z bezpieczeństwem peryferiów.
Zauważmy, iż problemy z wyciekami nie są jedynie domeną agencji ESA. Amerykańska NASA także zaliczyła bolesne incydenty. W 2018 r. hakerzy wykradli dane osobowe, w tym numery ubezpieczenia społecznego członków personelu. To pokazuje, iż choćby najbardziej doświadczone agencje kosmiczne, dysponujące ogromnymi budżetami i własnymi zespołami bezpieczeństwa, nie są odporne na błędy w konfiguracji, zaniedbane serwery czy lekceważone ostrzeżenia.
Jest tego więcej
Ustaw Spider’s Web jako preferowane medium w Google
