黑客组织声称入侵Red Hat 窃取数千家企业敏感数据

上周，黑客组织Crimson Collective宣称入侵Red Hat，从其内部开发仓库中窃取了约800份客户互动报告（Customer Engagement Report，CER）。事件传出后，该组织联手ShinyHunters向Red Hat进行勒索，并将该公司列入ShinyHunters数据泄露网站的名单中，同时公开部分CER资料以取信潜在买家。针对此次事件的影响范围，已有安全研究员公布调查结果。

安全专家Kevin Beaumont指出，根据Crimson Collective公布的被盗文件夹列表，他估计超过5000家企业的网络环境因此面临暴露风险。由于Red Hat已承认泄露数据与其顾问团队相关，而该团队主要负责处理大型企业面临的复杂技术问题，因此外泄内容很可能包含与客户相关的文档及源代码。

关于Crimson Collective的真实背景，Kevin Beaumont认为其与黑客组织Lapsus$有关联。他援引另一位安全专家Brian Krebs的说法，以Crimson Collective名义发布消息的人员自称“Miku”，极有可能是Lapsus$成员Thalha Jubair，因其在Telegram上的用户名正是Miku。英国国家网络犯罪局（NCA）表示，此人曾是Scattered Spider组织的成员。

另一线索来自名为Scattered Lapsus$ Hunters的网站所发布的信息。该网站声称于9月13日成功入侵Red Hat，并公布了所窃取数据的文件结构，总计包含370,852个文件夹和3,438,976个文件。Kevin Beaumont提到，该网站具有明显的Lapsus$特征，例如拼写错误的习惯性用词，以及在HTML注释中随意留下种族主义言论等行为。

此外，根据Crimson Collective公布的受害者名单，排在前两位的是电信运营商Claro和Vodafone，而这两家公司分别曾在2021年和2022年遭受过Lapsus$的攻击。

在最初公开7家企业的CER资料供买家验证后，Scattered Lapsus$ Hunters又释放了第二批达2.2GB的数据，声称共窃取超过320万个文件。其中部分内容极为敏感，包括本不应公开的私有证书文件（.PFX格式）。对此，Kevin Beaumont建议受影响企业应立即联系Red Hat顾问团队，获取被窃资料的具体内容，并尽快采取更换证书等补救措施。鉴于黑客已开始兜售这些数据，各受害企业应假设数据即将被全面公开，并提前做好应对准备。