Trudny początek roku dla Europejskiej Agencji Kosmicznej. Kolejny incydent i ponad 500 GB danych w rękach Scattered Lapsu$ Hunters

Jeszcze nie milkną echa po ostatnim głośnym ataku na Europejską Agencję Kosmiczną (ESA), w wyniku którego zostało wykradzionych blisko 200 GB danych, a już do opinii publicznej docierają nowe, jeszcze bardziej niepokojące informacje. Tym razem grupa Scattered Lapsus$ Hunters umieściła na stronie typu shame site (strona w sieci TOR, na której cyberprzestępcy chwalą się swoimi sukcesami) wpis, dotyczący ataku na ESA. Atakujący twierdzą, że od kilku miesięcy infiltrują infrastrukturę ESA i są w posiadaniu 500 GB danych. Jako wektor ataku posłużyły im bliżej nieokreślone podatności. 

TLDR:

• Na chwilę obecną ESA nie wydała oficjalnego oświadczenia. W rozmowie z The Register potwierdziła fakt wystąpienia incydentu, nie podając szczegółów.
• Europejska Agencja Kosmiczna (ESA) ponownie padła ofiarą cyberataku.
• Grupa Scattered Lapsus$ Hunters opublikowała wpis, na którym chwalą się przejęciem ponad 500 GB danych, pochodzących rzekomo z systemów ESA.
• Wśród przejętych danych znajdują się m.in.: informacje o kontrahentach i partnerach ESA, dokumentacja techniczna statków kosmicznych i satelitów, procedury operacyjne.
• Atakujący deklarują, że nadal mają dostęp do przejętych systemów.

Co ciekawe, atakujący deklarują, że nadal posiadają dostęp do infrastruktury ESA, mimo że Agencja jest świadoma wystąpienia incydentu i podjęła działania mające na celu zabezpieczenie podatnych urządzeń. Jak widać wdrożone procedury nie zadziałały zgodnie z oczekiwaniami. Jeśli deklaracje cyberprzestępców się potwierdzą, oznaczałoby to, że systemy ESA są w dalszym ciągu zagrożone, a pozostawione backdoory nie zostały jak dotąd wykryte.

Zgodnie z informacjami udostępnionymi przez portal theregister, wśród wykradzionych dokumentów znajdują się:

• dane kontrahentów i partnerów ESA, m.in.: SpaceX, Airbus Group, Thales Alenia Space, OHB System AG, EUMETSAT, Sener, Teledyne, Leonardo, Deimos Imaging, Sitael, SkyLabs, ISISPACE,
• procedury operacyjne i plany awaryjne,
• protokoły bezpieczeństwa,
• dokumentacja techniczna statków kosmicznych oraz satelitów.

Ponadto, pojawiły się tam również wrażliwe informacje o różnych programach kosmicznych i misjach, m.in.: narodowy program kosmiczny Grecji, program FORUM (Far-infrared Outgoing Radiation Understanding and Monitoring), TRUTHS (Traceable Radiometry Underpinning Terrestrial and Helio-Studies) oraz NGGM (Next Generation Gravity Mission).

Model działania atakujących różni się od schematu, do którego jesteśmy przyzwyczajeni. Cyberprzestępcy nie użyli oprogramowania typu ransomware, służącego do zaszyfrowania danych, tylko skupili się na skrytej eksfiltracji. Nie wystawili również oferty sprzedażowej, co miało miejsce w przypadku ostatniego incydentu dokonanego przez aktora o pseudonimie 888. 

Ogłosili natomiast, że z sukcesem uzyskali dostęp do systemów ESA oraz są w posiadaniu krytycznych informacji. Być może działania te służą jako element publicznego szantażu, który ma na celu zmuszenie ESA do zapłacenia okupu.

Co więcej, sugerując się faktem, że cyberprzestępcy posiadają stały dostęp do infrastruktury, mogą w niedalekiej przyszłości zaoferować innym aktorom tzw. ‘access brokering’, czyli sprzedaż nieautoryzowanego dostępu do sieci ESA. Tego typu ogłoszenia coraz częściej pojawiający się na forach dla cyberprzestępców.

Jak dotąd oficjalne oświadczenie ESA nie zostało opublikowane. W rozmowie z The Register, przedstawiciele Agencji potwierdzili, że padli ofiarą incydentu, powiadomili stosowne organy ścigania oraz podjęli działania, mające na celu zabezpieczenie podatnych systemów/urządzeń.

Na tą chwilę mało wiemy na temat wykorzystanych podatności oraz do jakich systemów mieli dostęp atakujący. Podobnie jak w przypadku poprzedniego incydentu, na szczegóły przyjdzie nam pewnie poczekać do pojawienia się oficjalnego komunikatu.

Źródło: theregister.com 

~_secmike