Cazul recent în care 570 de gigaocteți de date comprimate Red Hat au fost sustrase din depozite GitHub s-a extins marți, când Crimson Collective și Scattered Lapsus$ Hunters ar fi folosit site-ul de scurgeri de date Shiny Hunters pentru a exercita mai multă presiune asupra Red Hat.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Un grup de extorcare care se autointitulează Crimson Collective susține că a furat aproape 570 GB de date comprimate din 28.000 de depozite interne de dezvoltare aparținând Red Hat, compania confirmând că a fost vorba de o breșă de securitate a uneia dintre instanțele sale GitLab, potrivit BleepingComputer.
Aceste date includ, potrivit afirmațiilor, aproximativ 800 de rapoarte de implicare a clienților (Customer Engagement Reports -CER), care pot conține informații sensibile despre rețeaua și platformele unui client.
Un CER este un document de consultanță pregătit pentru clienți, care conține adesea detalii despre infrastructură, date de configurare, tokenuri de autentificare și alte informații care ar putea fi utilizate în mod abuziv pentru a ataca rețelele clienților.
Red Hat confirmă atacul
Red Hat a confirmat că a suferit un incident de securitate legat de activitatea sa de consultanță, dar nu a verificat niciuna dintre afirmațiile atacatorului cu privire la datele furate din depozitele GitLab și CER-urile clienților.
„Red Hat este la curent cu rapoartele privind un incident de securitate legat de activitatea noastră de consultanță și am inițiat măsurile de remediere necesare”, a declarat Red Hat.
„Securitatea și integritatea sistemelor noastre și a datelor care ne sunt încredințate sunt prioritatea noastră principală. În acest moment, nu avem niciun motiv să credem că problema de securitate afectează vreunul dintre celelalte servicii sau produse Red Hat și avem încredere deplină în integritatea lanțului nostru de aprovizionare cu software.”
Red Hat a confirmat că incidentul de securitate a fost o breșă în instanța GitLab utilizată exclusiv pentru Red Hat Consulting în cadrul angajamentelor de consultanță, și nu în GitHub.
Deși Red Hat nu a răspuns la alte întrebări despre atacul cibernetic, hackerii au declarat pentru BleepingComputer că intruziunea a avut loc în urmă cu aproximativ două săptămâni.
Aceștia ar fi găsit token-uri de autentificare, URI-uri complete ale bazelor de date și alte informații private în codul Red Hat și CER-uri, pe care au susținut că le-au utilizat pentru a obține acces la infrastructura clienților din aval.
Grupul de hackeri a publicat, de asemenea, pe Telegram o listă completă a depozitelor GitLab presupuse a fi furate și o listă de CER-uri din 2020 până în 2025.
Lista de directoare a CER-urilor include o gamă largă de sectoare și organizații bine cunoscute, precum Bank of America, T-Mobile, AT&T, Fidelity, Kaiser, Mayo Clinic, Walmart, Costco, Centrul de Război Naval al Marinei SUA, Administrația Federală a Aviației, Camera Reprezentanților și multe altele.
Hackerii au declarat că au încercat să contacteze Red Hat cu o cerere de șantaj, dar nu au primit niciun răspuns în afară de un răspuns standard care le indica să trimită un raport de vulnerabilitate echipei de securitate.
Potrivit acestora, tichetul creat a fost atribuit în mod repetat altor persoane, inclusiv membrilor personalului juridic și de securitate al Red Hat.
Red Hat a publicat o „actualizare de securitate” care confirmă că atacatorii au obținut acces la o instanță GitLab utilizată de divizia sa de consultanță.
„Am detectat recent accesul neautorizat la o instanță GitLab utilizată pentru colaborarea internă a Red Hat Consulting în anumite angajamente”, se arată în actualizarea de securitate a Red Hat.
„După detectare, am lansat imediat o anchetă amănunțită, am eliminat accesul părții neautorizate, am izolat instanța și am contactat autoritățile competente. Ancheta noastră, care este în curs de desfășurare, a constatat că o terță parte neautorizată a accesat și copiat unele date din această instanță.”
„Am implementat acum măsuri suplimentare de securizare menite să prevină accesul ulterior și să limiteze problema.”
Red Hat a subliniat că instanța GitLab este utilizată numai de divizia sa de consultanță și că atacul nu afectează alte produse Red Hat sau lanțul său de aprovizionare, inclusiv software-ul descărcat de pe canalele oficiale.
Compania a confirmat că instanța conținea rapoarte de angajament de consultanță (CER), care pot include specificații de proiect, fragmente de cod și comunicări interne legate de serviciile de consultanță. Cu toate acestea, Red Hat afirmă că aceste rapoarte nu conțin de obicei informații personale și că nu s-au găsit astfel de informații în timpul anchetei.
Compania contactează acum clienții afectați pentru a le furniza informații suplimentare despre ceea ce ar fi putut fi expus.
La scurt timp după dezvăluirea atacului cibernetic, infractorii cibernetici cunoscuți sub numele de Scattered Lapsus$ Hunters au încercat să ia legătura cu Crimson Collective.
Crimson Collective a anunțat că a încheiat un parteneriat cu Scattered Lapsus$ Hunters pentru a utiliza site-ul de scurgeri de date ShinyHunters, lansat recent, în scopul de a continua încercările de șantaj împotriva Red Hat.
În coordonare cu acest anunț, o intrare referitoare la Red Hat a apărut pe un nou site de șantaj cu scurgeri de date, ShinyHunters, avertizând compania că datele vor fi divulgate public pe 10 octombrie dacă nu se negociază o cerere de răscumpărare cu ShinyHunters.
În plus, autorii amenințării au publicat mostre din certificatele CER furate, inclusiv cele pentru Walmart, HSBC, Bank of Canada, Atos Group, American Express, Departamentul Apărării și Société Française du Radiotéléphone.
ShinyHunters Extortion-as-a-Service
Timp de luni de zile, ShinyHunters a acționat ca un serviciu de extorcare (EaaS), colaborând cu infractori cibernetici pentru a extorca o companie în schimbul unei părți din suma cerută, similar cu modul în care operează bandele de ransomware-as-a-service.
Această teorie se bazează pe numeroasele atacuri efectuate de diverși hackeri, toate fiind extorcate sub numele ShinyHunters, inclusiv cele care au vizat Oracle Cloud și PowerSchool.
ShinyHunters au susținut această teorie, afirmând că grupul nu se află în spatele atacurilor, ci acționează doar ca intermediar al datelor furate.
În plus, de-a lungul anilor au avut loc numeroase arestări ale persoanelor asociate cu numele „ShinyHunters”, inclusiv cele legate de atacurile de furt de date Snowflake, încălcările la PowerSchool și funcționarea forumului de hacking Breached v2.
Cu toate acestea, chiar și după aceste arestări, au avut loc noi atacuri, companiile primind e-mailuri de șantaj în care se afirma: „Noi suntem ShinyHunters”.
ShinyHunters a declarat că a operat în mod privat ca EaaS, unde a obținut o parte din veniturile generate de plățile de șantaj pentru atacurile altor actori de amenințare.
Odată cu lansarea site-ului de scurgeri de date ShinyHunters, se pare că grupul operează acum public serviciul de șantaj.
În plus față de Red Hat, ShinyHunters șantajează și SP Global în numele unui alt atacator care a pretins că este autorul atacului asupra companiei în februarie 2025.
