Siber suç, sahtekarlık yönetimi ve siber suç
Bankalar ve ABD devlet kurumları dahil 28.000 müşteri etkileniyor gibi görünüyor
Mathew J. Schwartz (Euroinfosec) •
3 Ekim 2025
Ticari Linux dağıtım üreticisi Red Hat, saldırganların danışmanlık kolundan müşteri verilerini çaldığını uyarıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Perşembe günü bir “güvenlik olayı” hakkında bir uyarıda Red Hat, “Son zamanlarda dahili kırmızı şapka danışmanlığı işbirliği için kullanılan bir GITLAB örneğine yetkisiz erişim tespit ettik.” Dedi.
Red Hat, ihlalin ürünleri, tedarik zinciri veya diğer hizmetleriyle ilgili hiçbir şeyden ödün vermediğini söyledi. “Şimdi daha fazla erişimi önlemek ve sorunu içermek için tasarlanmış ek sertleştirme önlemleri uyguladık.” Dedi.
IBM, 2019 yılında Red Hat’ı 34 milyar dolara satın aldı, bu da tarihin en büyük yazılım edinimi oldu.
Güvenlik olayı Çarşamba günü, bir grubun “Crimson Collective” diyen bir telgraf kanalında, 24 Eylül’de Red Hat’ın GitHub depolarını ihlal ettiğini ve dosya ağaçlarını yayınladığını söyledi. Grup, 2020’den bu yıla kadar üretilen yaklaşık 800 müşteri katılım raporu da dahil olmak üzere, bireysel müşterilerle ilgili 28.000’den fazla projeden yaklaşık 570 gigabayt veri çaldığını iddia etti.
İhlal haberleri ilk olarak BleepingComputer tarafından bildirildi.
Red Hat, bir soruşturma başlattığını ve saldırganın erişimini engellediğini söyledi. “Devam eden soruşturmamız, yetkisiz bir üçüncü tarafın bu örnekten bazı verilere eriştiğini ve kopyaladığını buldu.” Dedi.
Red Hat Enterprise Linux üreten Kuzey Carolina merkezli firma Raleigh, doğrudan etkilenen tüm müşterilerle iletişim kurduğunu söyledi. “Analizimiz devam ederken, şu anda etkilenen veriler içinde hassas kişisel veriler belirlemedik.” Dedi.
“Gitlab örneği, örneğin Red Hat’ın proje özelliklerini, örnek kod parçacıklarını ve danışmanlık hizmetleriyle ilgili iç iletişimleri içerebilecek danışmanlık katılım verilerini barındırdı.” Dedi. “Bu Gitlab örneği genellikle duyarlı kişisel verileri barındırmaz.”
Saldırganların sızdırdığına dair bir incelemeye dayanarak, ihlal edilen veriler “kimlik bilgileri, CI/CD sırları, boru hattı yapılandırmaları, VPN profilleri ve altyapı planlarını” içeriyor.
Maruz kalan müşteri katılım raporları da risk oluşturabilir. Siber güvenlik firması Zerofox, “CERS, bir danışman veya danışmanlık firması ile bir müşteri arasında bir danışmanlık projesinin veya bir danışmanlık projesinin faaliyetlerini, bulgularını, önerilerini ve sonuçlarını özetleyen resmi belgelerdir.” Dedi. “CERS, tipik olarak tam isimler, e -posta adresleri ve telefon numaraları gibi bir dizi kişisel olarak tanımlanabilir bilgi içerdikleri için, hepsi çeşitli sosyal mühendislik kampanyaları yürütmek için kullanılan verilerden çok aranan bir dizi kişisel olarak tanımlanabilir bilgi içeriyorlar.”
Saldırganlar tarafından site yapıştıracak tam bir dosya ağacı paste.to 3M, Accenture, Adobe, ADP, BNP Paribas, Boeing, Cisco, Citi, Deloitte, HSBC, IBM, NTT, O2, Sony, T-Mobile, UPS ve Verizon’u kurban olarak, diğerleri arasında listeler.
Talep edilen kurban listesi ayrıca Hava Kuvvetleri, Gümrük ve Sınır Koruma, İç Güvenlik Bakanlığı ve Federal Havacılık İdaresi ve ABD Senatosu Çavuş’taki Çavuş da dahil olmak üzere çok sayıda ABD federal sivil ve askeri ajansını da içeriyor.
İngiliz siber güvenlik uzmanı Kevin Beaumont, Sosyal Ağ Mastodon’a yaptığı bir yazıda, saldırganlar tarafından çalınan 570GB verilerin sıkıştırıldığını ve bunun yaklaşık bir terabayt gerçek veri içerdiğini söyledi.
Saldırganlar tarafından sızan veriler Red Hat ve müşteriler için daha fazla risk oluşturabilir. Zerofox, “İç depoların maruz kalması büyük olasılıkla Red Hat’in ürün ve hizmetlerinde tescilli kod ve güvenlik kontrollerini ortaya çıkaracak, bu da tehdit aktörlerinin daha fazla sömürülebilir zayıflıkları belirlemelerini kesinlikle sağlayacak.” Dedi.
Kırpıntılı kolektif
Kızıl kolektif grubu ilk olarak 24 Eylül Telegram Kanalı lansmanı ile ortaya çıktı.
Yedi gün sonra, Red Hat ihlalini duyurduğunda, grup da Nintendo’nun web sitesini “operasyonlarını teşvik edecek” web sitesini tahrif ettiğini iddia etti.
Ertesi gün grup, o ülkede bulunan bir telekomünikasyon sağlayıcısı olan Claro Colombia’yı kurban olarak, 50 milyondan fazla müşteri faturasının yanı sıra finansal dosyaların, Salesforce kayıtlarının, telefon görüşmesi günlükleri ve iç geliştirici depolarının çalınmasını iddia etti.
International Cyber Digest’teki analistler, “Kızıl kolektif yanlış yapılandırılmış bulut depolamasını sömürüyor – örneğin, AWS S3 kovaları, kod tabanlarında ve savunmasız web uygulamalarındaki sırları açıkladı.” Dedi. “Örnekleri ve basınç hedeflerini sızdırmak için telgraf kullanarak veri açığa çıkması ve gasp üzerine odaklanıyorlar.
CVE-2025-10725’e bağlı değil
Perşembe günü güvenlik uyarısında Red Hat, danışmanlık veri ihlalinin Çarşamba günü yayınladığı güvenlik uyarısı ile CVE-2025-10725 atanan bir Red Hat OpenShift AI güvenlik açığı ile ilgili bir ilişkisi olmadığını söyledi.
OpenShift AI hizmeti, büyük dil modellerini yönetmek, veri alımını etkinleştirmek ve LLM’leri eğitmek, servis etmek ve izlemek için bir platformdur.
“Kimlik doğrulamalı bir hesaba erişimi olan düşük ayrıcalıklı bir saldırgan”, depolanan bilgilere risk oluşturan “ayrıcalıklarını tam bir küme yöneticisine yükseltmek” için güvenlik açığından yararlanabilir. Red Hat, “Saldırgan hassas verileri çalabilir, tüm hizmetleri bozabilir ve temel altyapının kontrolünü ele geçirebilir, bu da platformun ve üzerinde barındırılan tüm uygulamaların ihlaline yol açabilir.” Dedi.