Het Europees ruimteagentschap ESA herstelt zich van een reeks cyberaanvallen waarbij honderden gigabytes aan potentieel gevoelige gegevens op dark web-forums zijn gelekt. Het ruimtevaartagentschap heeft gereageerd met het instellen van een strafrechtelijk onderzoek tegen de onbekende hackers. Maar een vooraanstaand onderzoeker op het gebied van cyberbeveiliging in de ruimtevaart waarschuwt dat veel van dergelijke aanvallen eerder onopgemerkt zijn gebleven en dat gevoelige gegevens, waaronder e-mailgegevens van medewerkers van ESA en ook NASA, regelmatig te koop worden aangeboden op dark web-forums.
ESA kreeg afgelopen kerst een onaangename verrassing. Op tweede kerstdag kwamen er berichten naar buiten dat een schat aan gegevens, waaronder de eigen software van het ruimtevaartagentschap, autorisatiegegevens, toegangstokens en gevoelige projectdocumentatie, online openbaar toegankelijk was. Een hacker met de codenaam 888 dumpte zijn cyberbuit van meer dan 200 gigabyte op een dark web-forum. ESA minimaliseerde de inbreuk snel en zei dat de impact ervan “beperkt” was. Maar slechts een week na die verklaring onthulde The Register dat een cybercriminaliteitsgroep die bekendstaat als Scattered Lapsus$ Hunters nog eens 500 gigabyte aan gegevens van het agentschap had gestolen, waarbij werd beweerd dat het beveiligingslek nog steeds niet was gedicht. Die batch gegevens omvatte volgens The Register operationele procedures, details over ruimtevaartuigen en missies, documentatie over subsystemen en vertrouwelijke gegevens van contractanten van ESA-partners, waaronder SpaceX, Airbus Group en Thales Alenia Space.
Ondanks de aanvankelijk lauwe reactie van het agentschap, verklaarden vertegenwoordigers van ESA tijdens een online persconferentie op 8 januari dat de incidenten aanleiding waren voor een strafrechtelijk onderzoek, dat momenteel gaande is. “ESA werkt volledig mee met de autoriteiten”, zei Eric Morel de Westgaver, directeur Europese, juridische en internationale zaken van ESA, tijdens de persconferentie. “Deze autoriteiten zullen de communicatie over de zaak verzorgen, aangezien zij verantwoordelijk zijn voor de strafrechtelijke procedure.” Cybersecurity-onderzoeker Clémence Poirier van het Center for Security Studies van ETH Zürich vertelde Space.com dat cyberaanvallen op ruimtevaartorganisaties geen op zichzelf staande incidenten zijn. Ze zei zelfs dat ze tijdens haar onderzoek regelmatig e-mailgegevens van ESA-medewerkers en andere ruimtevaartorganisaties tegenkomt die online worden verkocht op dark web-forums.
“Het kan te wijten zijn aan een gebrek aan cyberbeveiliging bij ESA-medewerkers”, vertelde Poirier aan Space.com. “Kwaadwillenden hebben mogelijk inloggegevens verkregen via infostealer-malware, die gegevens kan verzamelen die zijn opgeslagen in webbrowsers, waaronder inloggegevens, sessiecookies, (multi-factor authenticatie) gegevens, opgeslagen creditcards, enz.” Infostealers zijn een verraderlijk type malware dat detectie door antivirussoftware kan omzeilen. Deze computervirussen verspreiden zich vaak via kwaadaardige advertenties die zijn ingebed in populaire websites of geïnfecteerde links in YouTube-videobeschrijvingen, aldus SpyCloud. Een andere bron die bekend is met de cyberrisico's in de ruimtevaart en die anoniem wenst te blijven, zei dat ruimtevaartorganisaties een veelvoorkomend doelwit zijn van cyberaanvallen. Vooral NASA is vaak het slachtoffer van hackers, waarbij “bijna dagelijks” kwetsbaarheden worden onthuld via het crowdsourced cybersecurityplatform BugCrowd.
Poirier voegde eraan toe dat, hoewel de inhoud van de recente lekken “niet erg kritiek leek”, deze in de toekomst zou kunnen worden gecombineerd met gegevens die bij latere inbreuken zijn gestolen om “strategische informatie te onthullen die een nieuwe cyberaanval op een ruimtesysteem mogelijk zou kunnen maken”. “We zijn nog niet zo ver, maar het is belangrijk om dit in gedachten te houden”, zei ze. Ze voegde eraan toe dat er kwetsbaarheden kunnen bestaan aan de kant van de softwareleveranciers van ESA of andere derde partijen waarvan het agentschap diensten afneemt. Ook de eigen netwerken van ESA kunnen ongepatchte beveiligingslekken verbergen waardoor hackers toegang kunnen krijgen tot vertrouwelijke informatie. “Datalekken en inbreuken op ruimtevaartorganisaties komen vaak voor”, aldus Poirier. “Het kan elke organisatie overkomen en zal in de toekomst ook elke organisatie overkomen, gezien de toename van cyberaanvallen op de ruimtevaartsector.”
Bron: Space.com
