Хакерская группировка Crimson Collective заявила о масштабном взломе внутреннего GitLab-сервера компании Red Hat, в результате которого было похищено около 570 ГБ сжатых данных из 28 тысяч репозиториев. Среди украденной информации оказались около 800 отчетов о взаимодействии с клиентами, содержащих конфиденциальные сведения о сетевых инфраструктурах и платформах заказчиков Red Hat.
По данным злоумышленников, в компрометированных материалах содержатся данные таких крупных компаний и организаций, как Vodafone, T-Mobile, Siemens, Boeing, Bosch, 3M, Cisco, DHL, Adobe, American Express, Verizon, JPMC, HSBC, Ericsson, а также правительственных структур США, включая Центр разработки надводного вооружения ВМС, Федеральное управление гражданской авиации, Агентство национальной безопасности, Сенат и Палату представителей.
Особую озабоченность специалистов по кибербезопасности вызывают так называемые CER-отчеты, которые содержат детальную информацию об инфраструктуре клиентов, включая конфигурации систем, токены аутентификации, VPN-профили, данные инвентаризации, Ansible playbook, настройки платформы OpenShift, CI/CD раннеры и резервные копии. Эти данные потенциально могут быть использованы для организации целенаправленных атак на внутренние сети клиентов Red Hat.
Представители группировки сообщили, что пытались связаться с компанией с требованием выкупа, но получили лишь стандартный ответ с предложением отправить отчет об уязвимости в службу безопасности. По их словам, созданный тикет многократно переадресовывался между различными сотрудниками, включая представителей юридического отдела и специалистов по безопасности.
Компания Red Hat подтвердила факт инцидента безопасности, но отказалась комментировать детали утечки. В официальном заявлении говорится, что взломанный GitLab-сервер использовался исключительно в консалтинговом подразделении компании. Представители Red Hat заверили, что предприняли все необходимые меры по проверке и восстановлению систем, и у них нет оснований полагать, что инцидент затронул другие сервисы или продукты компании.
Эксперты отмечают, что данный случай демонстрирует растущую тенденцию к атакам на системы управления исходным кодом, которые становятся все более привлекательной целью для киберпреступников. Похищенные в результате таких взломов данные могут использоваться не только для шантажа компаний, но и для организации последующих атак на их клиентов.
Особую тревогу вызывает тот факт, что в украденных данных содержатся сведения о критически важной инфраструктуре и государственных организациях. Это создает потенциальные риски для национальной безопасности и требует принятия незамедлительных мер по защите компрометированных систем.
Ранее та же группировка взяла на себя ответственность за временную дефейс-атаку на тематическую страницу Nintendo, где разместила контактную информацию и ссылки на свой Telegram-канал. Это свидетельствует о растущей активности киберпреступников, специализирующихся на вымогательстве и публикации похищенных данных.
Компания Red Hat продолжает расследование инцидента, привлекая внешних специалистов по кибербезопасности. В настоящее время проводится полный аудит систем и проверка всех возможных векторов атаки. Клиентам компании рекомендовано усилить меры безопасности и проверить свои системы на предмет возможных компрометаций.
