Europäische Weltraumorganisation bestätigt neuen Datenverstoß

Die Europäische Weltraumorganisation (ESA) hat einen weiteren Verstoß gegen die Cybersicherheit bestätigt – diesmal betrifft er externe Server, die für die gemeinsame technische Entwicklung genutzt werden. Ein Angreifer, der sich zu dem Angriff bekannt hat, soll angeblich „geheime Dokumente” gestohlen haben.

Die ESA räumte ein, dass Angreifer sich unbefugten Zugriff auf Server außerhalb ihres Unternehmensnetzwerks verschafft hatten. Nach Angaben der Behörde enthielten diese Systeme Informationen zu gemeinsamen Ingenieursprojekten.

„Die ESA ist sich eines aktuellen Cybersicherheitsproblems bewusst, das Server außerhalb des Unternehmensnetzwerks der ESA betrifft“, teilte die ESA am Dienstag auf X mit. „Wir haben eine forensische Sicherheitsanalyse eingeleitet, die derzeit noch läuft, und Maßnahmen ergriffen, um potenziell betroffene Geräte zu sichern.“

„Unsere bisherige Analyse deutet darauf hin, dass nur eine sehr kleine Anzahl externer Server betroffen sein könnte“, erklärte die Weltraumorganisation. „Diese Server unterstützen nicht klassifizierte gemeinsame Ingenieursaktivitäten innerhalb der wissenschaftlichen Gemeinschaft. Alle relevanten Interessengruppen wurden informiert, und wir werden weitere Updates bereitstellen, sobald zusätzliche Informationen verfügbar sind.“

Screenshots, die BleepingComputer von einem mutmaßlichen Angreifer in Untergrundforen veröffentlicht hat, deuten auf einen Zugriff auf interne Dienste wie die JIRA- und Bitbucket-Systeme der ESA hin – angeblich über einen Zeitraum von einer Woche – und behaupten, dass etwa 200 GB an Daten abgezogen wurden, darunter „geheime Dokumente“, Konfigurationsdateien, Anmeldedaten und Quelldateien.

Weitere Details zum Ausmaß des Vorfalls sind aufgrund der laufenden Ermittlungen noch begrenzt.

Die ESA wurde bereits zuvor gehackt

Dies ist nicht das erste Mal, dass die Systeme der ESA angegriffen wurden. Die Agentur ist zwar vor allem für ihre Weltraumforschung bekannt, doch ihre digitale Präsenz ist seit langem Bedrohungen ausgesetzt.

Ende Dezember 2024 wurde der offizielle Merchandise-Webshop der ESA durch einen ausgeklügelten Angriff zum Abgreifen von Zahlungsdaten kompromittiert. Dabei wurde bösartiger JavaScript-Code in den Bezahlvorgang eingeschleust, wodurch die Kreditkartendaten der Besucher über eine gefälschte Stripe-Zahlungsseite abgegriffen wurden – und das alles, während der Bezahlvorgang scheinbar von der eigenen Domain der ESA ausging.

Sicherheitsforscher entdeckten die gefälschte Zahlungsschnittstelle und wiesen auf die Gefahr solcher Angriffe im Stil einer „Lieferkette“ hin, bei denen vertrauenswürdige Schnittstellen bösartigen Code ausführen. Obwohl der Shop offline genommen und der bösartige Code entfernt wurde, warf der Vorfall Fragen zu Integrierungen von Anbietern und Drittanbietern als potenzielle Angriffsvektoren auf.

Im Jahr 2015 wurden aufgrund von SQL-Injection-Schwachstellen Mitarbeiter- und Abonnentendaten aus mehreren Subdomains der ESA durch einen mit Anonymous in Verbindung stehenden Angriff offengelegt. Dieser Angriff führte zum Verlust von mehr als 8.000 Passwörtern, E-Mails und anderen Daten.