圈小蛙
一名化名为“888”的黑客在暗网论坛DarkForums上发布广告帖,声称对一起影响欧洲航天局(ESA)的重大数据泄露事件负责,并声称窃取了超过200GB的内部数据。该黑客表示攻击发生在2025年12月18日,导致所有私有开发和文档资产被完全窃取。
出售的资料被描述为一次性购买,且仅接受门罗币(XMR)支付。帖子称,这些数据包括私有的Bitbucket代码库、内部文档、基础设施定义以及敏感凭证。
黑客分享的屏幕截图显示了疑似与ESA相关的内部环境。其中一张图片显示了一个build.properties.dev配置文件,其中包含PSA数据采集工作流程、以.example.com结尾的内部主机esa.int、SMTP设置以及数据库连接详细信息。
截图中部分字段已被涂黑,但目录路径和变量命名规则仍然可见。硬编码的服务器引用和特定于环境的参数表明,这些内容直接取自开发或集成系统。
另一张截图显示了标记为专有和机密的内部技术文档,其中包括带有泰雷兹阿莱尼亚空间公司内部通知和空中客车防务与航天公司品牌标识的文件。
这些文件包括航天器参考系、子系统描述以及通常仅限合作伙伴和内部团队查阅的详细工程图。这些文件格式与正式交付文件一致,包含参考编号、发布日期和页数。
其他图片展示了一套疑似内部项目管理和开发工具。Jira实例列出了安全运营中心(SOC)和运营控制与指挥系统(OCCS)组件的结构化子系统需求,涵盖数据接收、验证、编排、作业执行以及非功能性需求。其层级结构和命名规则表明这些项目处于活跃的运营或开发阶段,而非存档资料。
另一张截图显示了Bitbucket项目视图,其中包含与部署管道、Docker镜像、编排服务、监控组件和数据处理链相关的众多存储库。
仓库名称引用了CI/CD流水线、打包系统、网关服务和核心框架镜像。这与参与者声称拥有源代码、自动化工作流和基础设施逻辑的访问权限相符。
如果属实,所描述的泄露事件将造成严重后果。源代码、CI/CD流水线、API令牌、访问凭证、Terraform定义和SQL文件共同构成了一幅完整的攻击面图。此类信息可能导致后续攻击、供应链滥用,或针对欧洲航天局(ESA)项目及其合作伙伴组织的长期间谍活动。
对此,欧洲航天局(ESA)发布声明称,其已注意到近期发生在ESA企业网络之外的服务器的网络安全问题,并已启动安全取证分析(目前正在进行中),并已采取措施保护所有可能受影响的设备。