L’attacco informatico che ha coinvolto l’ESA, l’Agenzia Spaziale Europea, si è manifestato a ridosso delle festività di fine anno e ha riguardato un numero circoscritto di server esterni utilizzati per attività collaborative. La conferma ufficiale è arrivata dopo la comparsa, su forum frequentati da cybercriminali, di un annuncio di vendita di grandi quantità di dati attribuiti all’agenzia.
Secondo quanto ricostruito, l’accesso non autorizzato sarebbe avvenuto a partire dalla metà di dicembre e avrebbe consentito agli attaccanti di consultare e copiare materiali tecnici. Tra i contenuti rivendicati figurano repository di codice sorgente, file di configurazione, token di accesso e documentazione interna. L’ESA ha chiarito che i sistemi compromessi non facevano parte della rete centrale e non ospitavano informazioni classificate.
L’hacker “888” ha messo in vendita i dati
La ricostruzione dell’accaduto si basa in parte sulle rivendicazioni pubblicate da un soggetto che si presenta con lo pseudonimo “888”, attivo su forum frequentati da ambienti cybercriminali, dove è stata annunciata la disponibilità alla vendita di oltre 200 gigabyte di dati attribuiti all’ESA. I materiali mostrati a supporto della rivendicazione includerebbero schermate e riferimenti a repository di sviluppo, strumenti di gestione dei progetti e archivi contenenti codice sorgente, file di configurazione e credenziali. In seguito a queste pubblicazioni, l’Agenzia Spaziale Europea ha confermato attraverso canali ufficiali online di essere a conoscenza dell’intrusione e ha precisato che la compromissione ha interessato esclusivamente server esterni, separati dall’infrastruttura centrale, ribadendo l’assenza di impatti sui sistemi operativi critici e sui dati classificati.
Sicurezza dei server esterni e superfici di attacco
L’incidente mette in luce il delicato ruolo dei “server periferici” nelle architetture digitali complesse. Trattandosi di infrastrutture che facilitano il lavoro distribuito tra enti di ricerca, fornitori e partner industriali, proprio questa funzione li rende bersagli appetibili: l’accesso a credenziali o chiavi può aprire la strada a ulteriori compromissioni lungo la catena di fornitura digitale, anche quando i sistemi principali restano isolati.
L’agenzia ha avviato un’indagine forense per determinare l’effettiva estensione della violazione e ha proceduto alla rotazione delle credenziali potenzialmente esposte. In parallelo sono state informate le organizzazioni coinvolte nei progetti che facevano uso dei server interessati, con l’obiettivo di prevenire effetti a cascata.
