Инструмент OutlawCountry используется ЦРУ для атак на Linux-системы

Инструмент OutlawCountry используется ЦРУ для атак на Linux-системы

Инструмент OutlawCountry используется ЦРУ для атак на Linux-системы

Согласно документам, опубликованным WikiLeaks, один из инструментов, используемых Центральным разведывательным управлением США (ЦРУ) для атак Linux-систем, называется OutlawCountry.

OutlawCountry описывается его разработчиками как инструмент, который использует модуль ядра для создания скрытой таблицы netfilter на целевой системе Linux. Затем хакер может использовать эту таблицу для создания новых правил брандмауэра с помощью команд iptables, и эти правила будут иметь приоритет над существующими. Правила могут использоваться для перенаправления трафика с зараженной машины на контролируемую злоумышленником.

В документации OutlawCountry, датированной июнем 2015 года, объясняется, что для использования инструмента необходимо иметь доступ к оболочке и привилегии пользователя на целевой машине. Новые правила, созданные этим инструментом видны только администратору, который знает имя таблицы, а таблица удаляется, если хакер удалит модуль ядра.

Поскольку в документации конкретно упоминаются CentOS и Red Hat Enterprise как операционные системы, на которых работает этот инструмент, Red Hat опубликовала рекомендации для пользователей своих систем. 

Организация все еще анализирует имеющуюся у нее информацию, а тем временем рекомендует пользователям искать существование файла с именем nf_table_6_64.ko и наличие скрытой таблицы под названием dpxvke8h18 в правилах iptable. Пользователи могут проверить наличие модуля ядра следующей командой: lsmod | grep nf_table.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru