АНБ допустило утечку "Красного диска" — проекта киберкомандования США
Главная » Новости

АНБ допустило утечку "Красного диска" — проекта киберкомандования США

Олег Иванов 28 Ноября 2017 - 19:42
...
АНБ допустило утечку "Красного диска" — проекта киберкомандования США

Новая утечка затронула Агентство национальной безопасности (АНБ) — стало известно содержание конфиденциального жесткого диска, принадлежащего подразделению. Виртуальный образ диска содержит более 100 гигабайт данных проекта военной разведки под кодовым названием «Красный диск» («Red Disk»). Этот образ принадлежит Разведывательному управлению армии США, известному как INSCOM.

Образ диска был оставлен на общедоступном сервере хранения Amazon Web Services без пароля, следовательно, его мог загрузить любой пользователь. Это, кстати, не первый инцидент с утечкой, связанный с такими хранилищами.

Крис Викери (Chris Vickery), директор исследования киберрисков в фирме UpGuard, обнаружил эти данные и проинформировал правительство об утечке. Впоследствии хранилище защитили, однако его владелец остается неизвестным.

Эта утечка поспособствовала очередному раскрытию секретных правительственных данных. Представители INSCOM пока не смогли дать никаких комментариев по поводу этого инцидента.

Просочившийся образ представляет собой снимок файловой системы, являющийся частью облачной системы обмена информацией, известной как «Красный диск». Этот проект был разработан с целью дополнения так называемой распределенной общей наземной системы армии (DCGS), устаревшей платформы для обработки и обмена информацией, наблюдения и разведки.

«Красный диск» был представлен как настраиваемая облачная система, которая могла удовлетворить требования крупных сложных военных операций. Но система была медленной, подверженной неисправностям и сложной в использовании. Пентагон потратил на «Красный диск» не менее 93 миллионов долларов, однако имплементировать его так и не удалось, с тех пор проект считается провальным.

Несмотря на то, что содержимое диска вполне читаемо, сама система не загружается. Это, скорее всего, связано с тем, что она зависит от систем и серверов, которые доступны только в сети Пентагона. Но и этого вполне достаточно, чтобы взглянуть на то, как работает «Красный диск».

Ранее мы писали о том, что Amazon создает центр для секретных данных разведки США.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser
Новость
Вредонос Winos 4.0 маскируется под LetsVPN и QQ Browser
APT-атак стало на 27% больше: под ударом госсектор и промышленность
Новость
APT-атак стало на 27% больше: под ударом госсектор и промышл...
Вредонос Konfety для Android прячется в фейковых APK и скрывает код
Новость
Вредонос Konfety для Android прячется в фейковых APK и скрыв...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.