Un attacco informatico su larga scala ha colpito l’Agenzia Spaziale Europea (ESA), con il furto e la pubblicazione su forum del dark web di centinaia di gigabyte di dati sensibili.
Il caso ha riacceso l’attenzione sulla crescente esposizione delle infrastrutture spaziali alle minacce informatiche, delineando scenari sempre più complessi per la sicurezza delle agenzie e dei loro partner industriali.
L’Agenzia Spaziale Europea è stata recentemente oggetto di una violazione informatica che ha comportato la sottrazione di oltre 700 gigabyte di dati riservati. Il primo attacco, emerso pubblicamente il 26 dicembre, è stato attribuito a un hacker identificato con lo pseudonimo *888*, che ha pubblicato circa 200 GB di dati su un forum del dark web. Tra i file esfiltrati figurano software proprietario, credenziali di accesso, token di autorizzazione e documentazione tecnica relativa a progetti dell’agenzia.
Pochi giorni dopo, un secondo attacco ha colpito ancora più duramente. Il gruppo cybercriminale Scattered Lapsus$ Hunters ha rivendicato il furto di ulteriori 500 GB di dati, comprendenti procedure operative, documenti di missione, dati relativi a sottosistemi e informazioni sensibili di partner industriali come SpaceX, Airbus Group e Thales Alenia Space.
L’ESA ha confermato l’accaduto e dichiarato di aver avviato una procedura d’indagine penale in collaborazione con le autorità competenti. Il direttore per le questioni europee, legali e internazionali dell’agenzia, Eric Morel de Westgaver, ha chiarito che la comunicazione ufficiale sull’avanzamento delle indagini sarà gestita direttamente dagli organi investigativi coinvolti.
Sebbene l’agenzia abbia inizialmente minimizzato l’impatto del primo incidente, la divulgazione del secondo attacco ha evidenziato la persistenza di vulnerabilità non corrette nei sistemi dell’ente. Secondo quanto riportato da *The Register*, la seconda breccia sarebbe avvenuta sfruttando le stesse debolezze ancora presenti nella rete ESA.
L’accaduto rientra in un fenomeno più ampio che vede le agenzie spaziali sempre più nel mirino di attori malevoli. Secondo la ricercatrice Clémence Poirier del Center for Security Studies dell’ETH di Zurigo, è frequente trovare credenziali di accesso di dipendenti ESA e NASA in vendita su forum clandestini. Si tratta spesso di dati raccolti tramite malware di tipo infostealer, in grado di sottrarre informazioni archiviate nei browser web come password, cookie di sessione, token per l’autenticazione multifattoriale e persino carte di credito salvate.
I malware di questo tipo si diffondono attraverso campagne di phishing, link compromessi o annunci pubblicitari malevoli veicolati anche su piattaforme web ad alta visibilità, inclusi video su YouTube. La loro capacità di eludere le difese dei comuni antivirus li rende strumenti particolarmente efficaci nelle fasi iniziali di compromissione di una rete.
L’analisi degli esperti suggerisce che uno dei fattori alla base della violazione potrebbe essere una gestione inadeguata delle pratiche di sicurezza informatica da parte del personale ESA. L’utilizzo di password deboli, il riutilizzo delle stesse credenziali su più servizi e l’assenza di sistemi di monitoraggio centralizzato facilitano il lavoro degli attaccanti.
La mancata segmentazione della rete, insieme alla presenza di sistemi legacy o software di terze parti non aggiornati, aumenta ulteriormente la superficie di attacco. In alcuni casi, le vulnerabilità potrebbero trovarsi non nei sistemi interni ESA, ma nei servizi forniti da contractor esterni o in interfacce API esposte non sufficientemente protette.
La diffusione incontrollata di documenti riservati rappresenta un rischio significativo per la sicurezza operativa delle missioni spaziali. Anche se i dati rubati non sono classificati come segreti di stato, la loro aggregazione in futuro potrebbe consentire a gruppi ostili di ottenere informazioni strategiche su satelliti, procedure e infrastrutture di controllo.
Secondo Poirier, l’impatto di questo tipo di attacchi non è sempre immediato, ma può manifestarsi nel tempo sotto forma di sfruttamento progressivo delle informazioni accumulate, fino ad arrivare a tentativi di compromissione diretta di sistemi spaziali.
Non solo ESA: anche la NASA e altre agenzie spaziali internazionali sono frequentemente soggette ad attacchi informatici. Un esperto del settore, rimasto anonimo, ha affermato che vulnerabilità nei sistemi NASA vengono segnalate quasi quotidianamente sulla piattaforma di bug bounty *BugCrowd*, dedicata alla raccolta e gestione di segnalazioni da parte di ricercatori indipendenti.
Questo livello di esposizione evidenzia quanto l’industria spaziale sia diventata un obiettivo primario per la cybercriminalità, spinta da motivazioni economiche, geopolitiche o di spionaggio industriale. Le missioni spaziali integrano sistemi software complessi, spesso sviluppati su base custom e difficili da aggiornare rapidamente, il che rende il loro ciclo di vita tecnologico particolarmente vulnerabile.
Un altro elemento chiave è rappresentato dalla catena di fornitura digitale. I partner industriali dell’ESA coinvolti nella recente violazione — tra cui SpaceX, Airbus e Thales Alenia Space — giocano un ruolo centrale nello sviluppo di hardware, software e sistemi integrati. La loro esposizione ai rischi cyber si traduce automaticamente in una vulnerabilità sistemica che si riflette sull’intero ecosistema spaziale.
Il monitoraggio delle supply chain, la verifica dell’integrità del software fornito da terze parti e la gestione dei privilegi di accesso rappresentano le principali aree critiche da rafforzare.
Il crescente numero di incidenti rende sempre più urgente l’adozione di strategie proattive di cybersecurity da parte delle agenzie spaziali. Queste devono includere:
La protezione dei dati tecnici e operativi non riguarda solo la riservatezza delle missioni, ma anche la sicurezza fisica di infrastrutture orbitanti e terrestri. La compromissione di sistemi di controllo satellitare, ad esempio, può generare scenari di disturbo alle comunicazioni, perdita di asset o interferenze nei servizi civili e militari.
Il caso ESA mette in evidenza un elemento ormai strutturale: gli attacchi informatici nel settore spaziale non sono eventi isolati, ma fenomeni sistemici destinati ad aumentare in frequenza e complessità. Ogni nuova violazione amplia il perimetro d’azione degli attori malevoli, alimentando un ciclo in cui i dati sottratti possono essere riutilizzati per colpire altre agenzie o contractor.
Per affrontare questo scenario, occorre potenziare le capacità di threat intelligence specifiche per il dominio spaziale, rafforzare le alleanze internazionali per la condivisione di indicatori di compromissione e adottare protocolli comuni per la gestione delle crisi cyber in ambito aerospaziale.
L’infrastruttura spaziale globale si configura sempre più come una superficie critica d’attacco, con implicazioni che travalicano i confini nazionali e che richiedono risposte coordinate, tempestive e tecnologicamente avanzate.