Red Hat の侵害の悪夢はさらに悪化した。GitLab リポジトリを荒らしたと主張する Crimson Collective のチームが、ShinyHunters とつながりのある「Scattered Lapsus$ Hunters」ギャングと連携し、本格的な恐喝キャンペーンで圧力をかけようとしている。
スターゲイトは、OpenAIとAMD、Nvidiaとの提携を成功させるには程遠い規模だ
続きを読む
この問題は先週、クリムゾン・コレクティブと名乗る犯罪グループが、レッドハットのコンサルティング部門が使用する GitLab 環境から約 570 GB の圧縮データをコピーしたと主張したことから始まった。そのデータには、約 28,000 の内部リポジトリと、詳細なインフラストラクチャ図、構成ファイル、場合によってはアクセス トークンなどの秘密を含む数百の顧客エンゲージメント レポート (CER) が含まれていたとされている。
The Registerが確認したメッセージでは、同グループはリポジトリとレポート内に認証トークンを発見したとも述べており、同グループはそれをすでに下流のRed Hat顧客への侵害に使用したと主張している。
Red Hatは先週、The Regに対し、今回の侵害はGitLabインスタンスに関連していることを確認し、影響を受けた環境を隔離し、調査を開始したと述べた。広報担当のEmily James氏はThe Regに対し、今回の攻撃はGitLab自身のインフラを標的としたものではないと強調し、「今回のインシデントは、Red Hatが自社で管理するGitLab Community Editionのインスタンスに関するものです。(中略)自社インフラ上に無料のセルフマネージドインスタンスを展開するお客様は、セキュリティパッチの適用、アクセス制御の設定、メンテナンスなど、インスタンスのセキュリティ確保に責任を負います」と述べた。
当初は標準的な恐喝行為と思われていたものが、今週、Crimson Collective のグループが Scattered Lapsus$/ShinyHunters シンジケートと協力し、IBM 所有のオープンソースの巨人から恐喝すると発表したことで、さらにエスカレートした。
「1949年4月4日にいわゆるNATOが創設されましたが、今日の新しい同盟がそれよりも大きなものだったらどうでしょうか?ただし、企業の精神を破壊するという、より壮大な目的のためだとしたらどうでしょうか」と、 The Registerが閲覧したTelegramメッセージで同グループは述べている。「クリムゾンの輝きがさらに遠くまで及んだらどうでしょうか?」
The Registerが確認した、新たに開設されたリークサイト「Scattered Lapsus$ Hunters」の投稿は、「最も機密性の高い知的財産の何テラバイトにも及ぶデータ」を公開すると脅迫し、Red HatがGDPRと米国各州のプライバシー法を根拠に、同社が企業秘密と個人データであると主張するものを保護できていないと非難している。また、Red Hatのドアが蹴破られたのは9月13日、つまり同社が侵入について事実を公表する数週間前だとも主張している。
チームは、5,000以上のディレクトリにCONFIDENTIALITY.mdファイルが含まれていると主張し、そのデータには大手民間および公共部門の組織が関与していると警告している。
リークサイトは期限を設定し、Red Hatに対し10月10日までに恐喝犯と連絡を取り「この件を解決する」よう要求し、支払いが完了すればRed Hatの顧客への直接攻撃を控えると約束している。犯罪者の言葉はいつ見ても信用できない。
Red HatはThe Regの質問には回答していないが、今回のインシデントは「Red Hatコンサルティングのコラボレーションで特定の案件で使用されている特定のGitLab環境」に影響を与えたと述べ、顧客の安心を促そうとしている。また、同社の製品ビルドシステムやホスティングサービスが影響を受けたという証拠は確認されていないと付け加えた。しかし、CER(多くの場合、設定の詳細、認証トークン、修復メモなどが含まれる)の性質上、これらの成果物が本物であれば、顧客へのダウンストリームリスクは重大となる可能性がある。
- サイバー犯罪者が28,000のRed Hatリポジトリを襲撃したと主張、機密性の高い顧客ファイルを保有していると主張
- 「引退した」サイバー犯罪グループ、Salesforceの10億件の記録を漏洩させないために身代金を要求
- スキャッタード・スパイダー・ギャング、引退を装い銀行強盗
- 犯罪者は、Googleが警察と情報を共有するために使用しているシステムに侵入した
「これらの CER には、明らかに機密のビジネス/会社データ (認証情報、環境変数、アーキテクチャ、コード、内部設計、ネットワークへの不正アクセスを許可するもの) が含まれており、Red Hat はそれらを適切に保護できず、これらの企業秘密の機密性を維持することが最大の責任であったにもかかわらず、Red Hat はそれを怠った」と Scattered Lapsus$ Hunters はリークサイトで述べており、盗まれたと主張するデータのサンプルも公開している。
Red Hat が長期にわたる情報漏洩に対して交渉するか、賠償金を支払うか、あるいは戦うかはまだ分からないが、Crimson Collective と ShinyHunters の関連会社との公開パートナーシップは、恐喝組織がより協力的になり、そしておそらくより危険になっていることを示している。®
