สรุปเหตุการณ์“Alleged breach of Red Hat”จากรายงาน Group-IB, 2 ต.ค. 2025
- Nextwave Marketing
- Oct 3
- 1 min read
> เหตุการณ์: กลุ่ม “Crimson Collective” อ้างว่าเจาะ Red Hat (ผ่านช่องทาง Telegram สาธารณะ) เมื่อ 1 ต.ค. 2025 โดยอ้างว่าสามารถ “export” repo ของ Red Hat ได้กว่า 28,000 รายการ รวมถึงเอกสาร CERs (Customer Engagement Reports), การวิเคราะห์โครงสร้างพื้นฐาน และ repo ส่วนตัวของนักพัฒนา
> หลักฐานที่กลุ่มเผยแพร่: ลิงก์ตัวอย่างเป็นรายการไฟล์ (file tree) ยาว ~16,274 บรรทัด ครอบคลุมไฟล์ตั้งแต่ปี 2018–2025 (เช่น VPN profiles, Ansible, pipelines, configs, backups) และรายชื่อโฟลเดอร์ CERs ~814 บรรทัด (ช่วงปี 2020–2025) พร้อมภาพหน้าจอแสดงไฟล์อาร์ไคว์ขนาดกว่า 570GB แต่ยังไม่ปล่อยไฟล์จริงต่อสาธารณะ
> สถานะการยืนยัน: 2 ต.ค. 2025 สื่อ BleepingComputer รายงานว่า Red Hat “รับทราบเหตุการณ์ที่เกี่ยวข้องธุรกิจที่ปรึกษา (consulting)” และเริ่มการแก้ไข โดยระบุว่า “ยังไม่พบผลกระทบต่อบริการ/ผลิตภัณฑ์อื่น และมั่นใจสูงในความสมบูรณ์ของซัพพลายเชนซอฟต์แวร์”
> การประเมินจากรายงาน: ระดับความน่าเชื่อถือ (Credibility) 60% รหัส Admiralty C1 (แหล่งข่าวเชื่อถือได้/ข้อมูลยืนยันน้อย) สีความรุนแรง Orange
ไทม์ไลน์สั้น:
- 1 ต.ค. 2025: โพสต์อ้างการเจาะ + ภาพแชตกับ Red Hat + รายการไฟล์ตัวอย่าง + ภาพอาร์ไคว์ >570GB
- 2 ต.ค. 2025: มีรายงานข่าวว่า Red Hat รับทราบเหตุการณ์ฝั่ง consulting และดำเนินการเยียวยา
ข้อควรระวัง/แนะนำสำหรับองค์กร
1. เฝ้าติดตามประกาศทางการของ Red Hat (โดยเฉพาะฝ่าย Consulting) และตรวจสอบรายการลูกค้าที่เกี่ยวข้องกับโครงการ/ที่ปรึกษา Red Hat ของตน
2. เปลี่ยน/เพิกถอนคีย์ที่เกี่ยวข้อง (VPN profiles, tokens, Ansible inventories, CI/CD secrets) และหมุนเวียนรหัสผ่าน/SSH keys ที่อาจถูกเก็บใน repo/สคริปต์
3. ทบทวนสิทธิ์ Git/GitHub/CI ของทีมภายใน ลดสิทธิ์ให้เท่าที่จำเป็น (principle of least privilege) และเปิดใช้ SSO, MFA, secret scanning, branch protection
4. ตรวจสอบล็อกการเข้าถึงระบบปลายทางที่เชื่อมกับโครงการ Red Hat (ช่วงปี 2018–ปัจจุบัน) มองหาพฤติกรรมผิดปกติ/การดึงข้อมูลจำนวนมาก
5. เตรียมแผนตอบสนองเหตุการณ์ (IR): รายชื่อระบบที่ต้องตัดเชื่อม/หมุนเวียนคีย์, ขั้นตอนแจ้งผู้มีส่วนได้เสีย, และ playbook สำหรับกรณีข้อมูล CER/โค้ดรั่วไหล
Group-IB ได้ดำเนินการติดตามและเผยแพร่ข้อมูลอัปเดตเกี่ยวกับเหตุการณ์นี้อย่างต่อเนื่อง
สำหรับรายงานฉบับล่าสุด กรุณาติดตามได้จากลิงก์ที่แนบมา >> https://www.nextwave.co.th/groupib-allegedbreachofredhat
ติดต่อเรา
E-mail: info@nextwave.co.th
Website: www.nextwave.co.th
LinkedIn: NEXTWAVE (Thailand)
LineOA: @NextwaveThailand หรือ https://lin.ee/9IsklQi
Comments