Sotilasteknologioiden osalta käynnistettiin koko järjestelmän haavoittuvuusasteen testaus.
Washington. Kiinalaiset hakkerit ovat hyökänneet Yhdysvaltain laivaston alihankkijoiden järjestelmiin varastaakseen kaiken laivojen huoltotiedoista niihin asennettuihin ohjuksiin liittyviin tietoihin, virkamiehet ja asiantuntijat sanoivat, mikä on saanut perusteellisen arvion näiden yritysten järjestelmien kyberhaavoittuvuuksista.
Sarja kyberhyökkäykset viimeisen puolentoista vuoden aikana ovat tuoneet esiin näiden järjestelmien heikkouksia, ja niistä on tullut eräiden viranomaisten mukaan yksi tuhoisimmista Pekingiin liittyvistä kyberkampanjoista.
Nämä kyberhyökkäykset vaikuttivat kaikkiin Yhdysvaltain armeijan haaroihin, mutta Yhdysvaltain laivaston ja ilmavoimien urakoitsijat olivat ilmeisesti erityisen kiinnostavia hakkereille, jotka etsivät edistynyttä sotilasteknologiaa.
Erään yhdysvaltalaisen virkamiehen mukaan Yhdysvaltain laivaston urakoitsijat ovat kärsineet eniten kuluneen vuoden aikana.
Yhdysvaltain laivaston urakoitsijoilta ja alihankkijoilta väitetyt varastetut tiedot ovat usein erittäin arvokasta nykyaikaista sotilastekniikkaa koskevaa turvaluokiteltua tietoa. Hakkereiden uhrit eivät olleet vain suuret, vaan myös pienet yritykset, joilla ei yksinkertaisesti ole tarpeeksi resursseja investoida tietokonejärjestelmiensä suojaamiseen.
Yhdessä suurimmista hakkeroista, joka paljastui kesäkuussa, varastettiin salaisia suunnitelmia yliäänivoimaisesta laivantorjuntaohjuksesta, joka Yhdysvaltain viranomaisten mukaan aiottiin asentaa Yhdysvaltain sukellusveneisiin. Hakkerit hyökkäsivät nimeämättömään yritykseen, joka työskenteli sopimuksen nojalla Yhdysvaltain laivaston laivaston merenalaisen sodankäynnin keskus Newportissa.
Hakkerit ovat hyökänneet myös niihin yliopistoihin, joissa on erityisiä laboratorioita kehittääkseen uusia teknologioita, joita laivasto ja muut joukot voivat käyttää. Tämän osoittavat kyberturvallisuusasioihin erikoistuneiden yritysten auditoinnit.
Yhdysvaltain laivastoministeri Richard Spencer on määrännyt tarkastuksen haaransa järjestelmien heikkouksista, jotka voivat auttaa vastustajia pääsemään kriittiseen tietoon. Viranomaisten mukaan ongelman alustavan arvioinnin salaiset tulokset, jotka annettiin Mr. Spencerille muutama päivä sitten, vahvistavat hälytyksen pätevyyden ja luovat pohjan Yhdysvaltain laivaston vastaukselle.
Laivaston viranomaiset kieltäytyivät kertomasta tarkalleen, kuinka monta hyökkäystä on suoritettu viimeisen puolentoista vuoden aikana, mutta he sanoivat, että hyökkäyksiä oli "melko vähän" ja lisäsi, että hyökkäykset olivat mahdottomia hyväksyä.
"Järjestelmiimme kohdistuvat hyökkäykset eivät ole uusia, mutta yritykset varastaa arkaluonteisia tietoja ovat yhä aktiivisempia ja kehittyneempiä", Spencer kirjoitti muistiossa, joka joutui Wall-Street Journalin toimittajien käsiin lokakuussa. "Meidän on toimittava päättäväisesti ymmärtääksemme täysin näiden hyökkäysten luonteen ja kuinka keskeisten tietojen menettäminen voidaan estää."
Spencerin muistiossa ei mainita Kiinaa. Mutta viranomaisten mukaan hakkerihyökkäysten uhreiksi joutuivat ne yritykset, joista Kiina on kiinnostunut. Lisäksi hakkerit jättivät jälkiä, jotka viittaavat Pekingin osallisuuteen.
Perjantaina 14. joulukuuta Yhdysvaltain laivaston virkamiehet sanoivat, että Spencerin muistio "heijasti [laivaston] vakavuutta kyberturvallisuuden priorisoinnissa uusiutuneiden valtataistelujen aikakaudella, jotta laivastomme ja merijalkaväet voivat säilyttää ja lisätä sotilaallista etuamme vastustajaan nähden. "
Kiinan viranomaiset eivät vastanneet kommenttipyyntöömme, mutta he kiistävät osallisuutensa kyberhyökkäuksiin.
Vaikka hakkerit yrittivät varastaa arkaluontoisia tietoja useimmissa hyökkäyksissä, laivaston virkamiesten mukaan Kiina haluaa myös osoittaa, että se voisi muodostaa toisenlaisen uhan, vaikka Kiinan laivasto ja ilmavoimat ovat USA:ta huonompia.
"He kohdistuivat heikkoon vatsaamme", sanoi eräs puolustusviranomainen. "Tämä on epäsymmetrinen tapa iskeä Yhdysvaltoihin ilman, että joudut avaamaan tulen."
Kiinalaisiin hakkereihin viittaavia merkkejä ovat haittaohjelmien etähallinta Hainan Islandilla sijaitsevasta tietokoneosoitteesta sekä useiden kiinalaisille hakkeriryhmille tyypillisten työkalujen dokumentoitu käyttö.
Tom Bossert, joka oli huhtikuuhun presidentti Trumpin kotimaan turvallisuuden neuvonantaja, sanoi, että kiinalaiset hakkeroivat Yhdysvaltain armeijan ja muiden järjestöjen järjestelmiä useista syistä – joskus sabotoidakseen amerikkalaisia järjestelmiä, joskus varastaakseen tietoja, joskus saadakseen kilpailuetua. henkisen omaisuuden varkaus. Yhdysvaltain viranomaiset sanovat, että heillä on salaisia lähteitä ja menetelmiä varmistaakseen, että Kiina on vastuussa hakkeroista.
"Puolustusministeriön on äärimmäisen vaikeaa suojata omia järjestelmiään", Bossert sanoi. "Kysymys on luottamuksesta ja toivosta - hänen urakoitsijoidensa ja alihankkijoidensa järjestelmien suojaaminen."
Mr. Spencerin analyysi tulee juuri silloin, kun puolustusministeriö yrittää kääntää jättimäistä byrokratiaansa kohti vastuullisempia kyberturvallisuuskäytäntöjä ja vakuuttaa alihankkijat suojelemaan järjestelmiään.
Eräs virkamies sanoi, että armeijan eri aloilla työskentelevät alihankkijat jäävät usein paljon jälkeen kyberturvallisuuskysymyksissä ja joutuvat usein muihin aloihin vaikuttavien hakkerihyökkäysten uhreiksi.
Pentagonin vanhemmat virkamiehet uskovat, että armeijan edun mukaisten projektien turvaaminen ei salli alihankkijoiden ja alihankkijoiden olla vastuussa kyberturvallisuudesta.
Spencerin analyysi osui samaan aikaan Trumpin hallinnon pyrkimyksen kanssa saada Kiina vastuuseen sen jatkuvista yrityksistä varastaa tietoja yhdysvaltalaisilta yrityksiltä kyberhyökkäyksellä ja värvätä näiden yritysten työntekijöitä taloudellisen voiton ja sotilaallisen kehityksen vuoksi.
Kiinalaisia hakkereita on syytetty miljardien dollareiden henkisen omaisuuden varastamisesta amerikkalaisilta yrityksiltä vuodessa, ja viime viikkojen aikana Yhdysvaltain oikeusministeriö on käynnistänyt joukon syytöksiä Pekingin syytöksistä. Tällä viikolla kiinalaisia hakkereita vastaan odotettiin nostettavan lisää syytteitä, mutta niitä jouduttiin lykkäämään, koska sen seurauksena voitiin julkaista turvaluokiteltuja tietoja. Lisäksi tutkijat ovat vakuuttuneita siitä, että Marriott International Corporationin äskettäin raportoima hakkerihyökkäys on kiinalaisten tekemä.
Kyberturvallisuusasiantuntijat ovat todenneet, että hakkerointihyökkäyksiä Yhdysvaltain laivaston urakoitsijoihin ja alihankkijoihin tekivät Kiinan hallituksen väitetyn Temp.Periscope- tai Leviathan-nimisen hakkerointiryhmän jäsenet, joka käyttää usein tietojenkalasteluhuijauksia tietoverkkoihin murtautumiseen.
Tämä ryhmä on toiminut ainakin vuodesta 2013 lähtien ja sen toiminta kohdistuu ensisijaisesti amerikkalaisia ja eurooppalaisia yrityksiä vastaan.
Temp.Periscope-aktiviteetti laski huomattavasti vuonna 2015, suunnilleen samaan aikaan, kun Yhdysvaltain silloinen presidentti Barack Obama ja Kiinan johtaja Xi Jinping allekirjoittivat kahdenvälisen sopimuksen, jossa he lupasivat pidättäytyä taloudellisesta vakoilusta, ja myös Kiinan armeijan uudelleenjärjestelyprosessin taustalla. , kerrotaan amerikkalaisen FireEye-yrityksen, joka seuraa tarkasti tämän hakkeriryhmän toimintaa. Vuoden 2017 puolivälissä Temp.Periscope palasi töihin.
Viime viikkoina Yhdysvaltain viranomaiset ovat sanoneet, että Kiina on lakannut noudattamasta sopimuksen ehtoja.
Ben Read, FireEyen vanhempi analyytikko, huomautti, että Temp.Periscope oli yksi aktiivisimmista kiinalaisista hakkerointiryhmistä, jota hänen yrityksensä on seurannut kuluneen vuoden aikana. Ryhmän toiminta kohdistui ensisijaisesti merivoimiin liittyviin yrityksiin, mutta he tekivät myös hyökkäyksiä muita organisaatioita vastaan, jotka saattoivat liittyä Kiinan strategisiin etuihin Etelä-Kiinan merellä, mukaan lukien joitain poliittisia organisaatioita Kambodžassa.
"Vaikka he ovat keskittyneet ensisijaisesti yrityksiin, jotka tekevät liiketoimintaa laivaston kanssa, ne ovat tietyssä mielessä täysivaltainen tiedustelupalvelu", herra Reed sanoi.
Viime vuosien kohdistetuimpien hyökkäysten jäljet johtavat Aasiaan, jossa Shanghain palvelimet erottuvat valopilkkuna. Tutkimuksissa asiantuntijat panevat merkille sellaisia merkkejä kuten kiinalaiset IP-osoitteet, aikaleimat, kieliasetukset ja Kiinalle ominaiset ohjelmistot. Tässä artikkelissa yritämme selvittää, kuka nämä hakkerihyökkäykset järjestää ja mitkä hakkeriryhmät ovat tämän takana.
Laajamittainen kohdistettujen hyökkäysten tutkiminen kestää joskus vuosia, joten niiden toteutuksen yksityiskohdat eivät ole heti tiedossa. Pääsääntöisesti niiden julkaisemiseen mennessä kaikki hyödynnetyt haavoittuvuudet on korjattu, haitallisia komponentteja on lisätty virustorjuntatietokantoihin ja C&C-palvelimet on estetty. Tällaisissa raporteissa kiinnostavat kuitenkin menetelmät, joita pienin muutoksin käytetään edelleen uusissa hyökkäyksissä.
Kiinalainen hakkeriryhmä APT1 (alias Comment Crew)
Tämä hakkeriryhmä sai tunnuksen numero yksi ja vaikutti suurelta osin termin APT-hyökkäys - Advanced Persistent Threat - yleistymiseen. Se asetti eräänlaisen ennätyksen yhdeltä organisaatiolta varastettujen tietojen määrälle: APT1 latasi kymmenessä kuukaudessa 6,5 Tt asiakirjoja hakkeroiduilta palvelimilta.
On olemassa paljon todisteita siitä, että APT1:n loi Kiinan puolustusministeriö Kiinan kansan vapautusarmeijan (PLA) yksikön 61398 perusteella. FireEye-asiantuntijoiden mukaan se on toiminut vuodesta 2006 PLA:n pääesikunnan kolmannen osaston erillisenä rakenteena. Tänä aikana APT1 suoritti ainakin 141 kohdennettua hyökkäystä. Tarkkaa lukumäärää on vaikea nimetä, koska osa tietoturvaloukkauksista on piilotettu, eikä tunnettujen hyökkäysten osalta aina voida todistaa kuuluvuutta tiettyyn ryhmään.
APT1-toiminta alueittain, kuva: fireeye.com
APT1 uudistettiin ja vahvistettiin vuonna 2016 maan poliittisen johtajuuden "tietosodan voittamisen" opin mukaisesti.
Uuden APT1-tukikohdan rakentaminen aloitettiin vuonna 2013, kuva: DigitalGlobeNyt siellä on useita tuhansia asukkaita. Koostuu pääasiassa Zhejiangin yliopistosta ja Harbinin ammattikorkeakoulusta valmistuneista, joilla on hyvä englannin kielen taito.
Maantieteellisesti APT1:n pääkonttori sijaitsee Pudongissa (Shanghain uusi alue), jossa se omistaa suuren rakennuskompleksin. Niiden sisäänkäynnit ovat vartioituja, ja koko kehällä on tarkastuspistejärjestelmä, kuten sotilastukikohdassa.
Tarkistuspiste perustuu APT1:een, kuva: city8.comNopeuttaakseen hyökkäyksen aktiivista vaihetta ja peittääkseen jälkensä APT1 käytti "hyppylentokenttiä" - tartunnan saaneita tietokoneita, joita ohjattiin RDP:n kautta, ja FTP-palvelimia, jotka isännöivät hyötykuormaa. Kaikki ne sijaitsivat maantieteellisesti samalla alueella, jossa kohteet sijaitsivat.
Kahden vuoden tarkkailujakson aikana FireEye löysi 1 905 tapausta, joissa tällaisia älykkäitä isäntiä käytettiin 832 eri IP-osoitteesta, joista 817 johti China Unicomin ja China Telecomin Shanghain verkkoihin, ja Whois-tietueet osoittivat suoraan Pudongiin, jossa lisäksi APT1:n pääkonttoriin ei ole vertailukelpoisia organisaatioita.
Näitä välisolmuja ohjattiin yleensä HTRAN-välityspalvelimella (HUC Packet Transmit Tool) 937 eri APT1:n ohjaamasta palvelimesta.
APT1 käytti hyökkäyksissään 42 takaovea eri perheistä. Jotkut niistä on kirjoitettu kauan sitten, jaettu darknetissä tai muokattu tilauksesta (Poison Ivy, Gh0st RAT ja muut), mutta Backdoor.Wualess ja sen myöhemmät modifikaatiot erottuvat tästä sarjasta. Se näyttää olevan APT1:n omaa kehitystä.
Kuten muissakin kohdistetuissa hyökkäyksissä, APT1-skenaarioissa hyötykuorma toimitettiin uhrien tietokoneille sosiaalisen manipuloinnin menetelmillä (erityisesti keihäsphishing). Wualess-takaoven päätoiminnot sisältyivät wuauclt.dll-kirjastoon, jonka tartunnan saaneen sähköpostin troijalainen sijoitti Windowsia käyttäviin kohdetietokoneisiin järjestelmähakemistoon (%SYSTEMROOT%\wuauclt.dll).
Sitten takaovi teki tarkistuksen aiemman tartunnan varalta ja rekisteröi itsensä tarvittaessa rekisteriin palveluksi:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start"="2" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll" |
- NameLess.3322.org, TCP-portti 5202;
- sb.hugesoft.org, TCP-portti 443.
Selaimet käyttävät oletusarvoisesti jälkimmäistä porttia HTTPS-yhteyksiin, joten palomuurit eivät yleensä estä sitä.
Vastaanotettuaan komennon takaovi tekisi jonkin seuraavista:
- tarkistanut yhteyden nopeuden;
- kerätty ja lähetetty tietoja järjestelmästä ja käyttäjistä;
- otti kuvakaappauksen ja lähetti sen;
- tyhjensi DNS-välimuistin ja muutti sen merkintöjä;
- ladannut ja käynnistänyt vielä yhden haittaohjelman;
- lopetti määritetyt prosessit muistissa;
- etsittiin ja lähetettiin määritettyjä kriteerejä vastaavia tiedostoja (lähinnä toimistomuotoisia asiakirjoja ja arkistoja);
- päivitti versionsa;
- tallensi kopion palautuspisteeseen (järjestelmän levyn tiedot)
Jälkimmäinen ominaisuus vaikeutti takaoven poistamista kokonaan, koska käyttöjärjestelmä yleensä esti pääsyn \System Volume Information\ -hakemistoon.
Myöhemmät muutokset (esim. Wualless.D) käyttivät satunnaisia tiedostonimiä, suurta joukkoa porttinumeroita yhteyden muodostamiseksi C&C-palvelimiin, ja ne suoritettiin sokeana kopiona iexplore.exe-prosessista.
Toinen APT1:lle tyypillinen piirre oli WEBC2-takaovien käyttö. Niissä on minimaalinen joukko toimintoja (jota käytetään pääasiassa tiedon keräämiseen) ja ne muodostavat yhteyden ohjauspalvelimiin kuten selain. Takaovi vastaanottaa palvelimelta web-sivun, jonka tagit sisältävät ohjauskomentoja. Tällainen liikenne näyttää käyttäjän verkkotoiminnalta, eikä se yleensä herätä turvajärjestelmien käyttäytymisanalysaattoreissa epäilyksiä.
Muista APT1:n käyttämistä liikenteen hämärtämistekniikoista erottuvat takaovet MaCroMaIL (simuloi MSN Messengerin työtä), GLooxMaIL (simuloi Jabber/XMPP-asiakasta) ja CaLenDar (sen tiedonvaihto muistuttaa Googlen kalenterin synkronointia).
Tietojen keräämiseen tartunnan saaneista tietokoneista APT1 käytti sisäänrakennettuja Windowsin työkaluja, joita kutsuttiin backdoor on -komennon luoman erätiedoston (.bat) kautta. Muistutan, että >-merkki osoittaa, että tuloste ohjataan tiedostoon sen sijaan, että se näkyisi näytöllä, ja tiedoston tunnisteella lokin kanssa ei ole väliä, koska sen sisällä on ASCII-koodattu pelkkä tekstimuoto / DOS.
@kaiku pois // Sammuta komentolähtö ipconfig /all > %TEMP%\ipconfig. Hirsi // Tallentaa täydelliset IP-määritystiedot, luettelon kaikista verkkosovittimista ja niiden MAC-osoitteista netstat -ano > %TEMP% \ netstat . Hirsi // Näyttää kaikki verkkoyhteydet ja avoimet portit, määrittää kunkin prosessin tunnuksen ja verkko-osoitteet numeerisessa muodossa net start > %TEMP%\services. Hirsi // Luetteloi kaikki käynnissä olevat Windows-palvelut tehtävälista / v > % TEMP % \ tehtävät . lst // Luo luettelon kaikista käynnissä olevista prosesseista ja niiden kuluttamista laskentaresursseista net user > % TEMP % \ users . lst // Tallentaa luettelon Windows-tileistä paikallisesta tietokannasta net localgroup -järjestelmänvalvojat > %TEMP%\admins . lst // Näyttää luettelon paikalliseen ryhmään "Järjestelmänvalvojat" kuuluvista tileistä nettokäyttö > % TEMP % \ osakkeita . netto // Näyttää luettelon yhteyksistä verkko-osuuksiin netview > %TEMP%\hosts. dmn // Näyttää luettelon nykyisen toimialueen tai verkon isännistä |
Käytä myös sopivia komentoja, kuten net group
Tämä tiedonkeruumenetelmä toimi moitteettomasti primitiivisyytensä ansiosta. Sisäänrakennetut diagnostiikkatyökalut ovat saatavilla kaikilla tietokoneilla, joissa on mikä tahansa Windows-versio. %TEMP%-muuttuja eliminoi tarpeen etsiä kansiota lokien tallentamista varten. Kuka tahansa käyttäjä (ja hänen oikeuksillaan toimiva takaovi) voi kirjoittaa tilapäisten tiedostojen hakemistoon. Yksikään virustorjunta ei kiroile tekstimuotoisia tiedostoja (etenkin vakiotyyppisiä lokeja), ja käyttäjälle ne näyttävät täysin harmittomilta - kuten telemetrian kerääminen Microsoftilta tai rutiininomaiset järjestelmänvalvojan tarkistukset.
Ainoa ero oli, että kerätyt lokit pakattiin sitten .rar-arkistoon ja lähetettiin APT1-palvelimille lisäkohteiden valitsemiseksi. Tietovuotojen analysoinnin vaikeuttamiseksi luotiin lokeja sisältävä .rar-arkisto -hp-avaimella (osoittaa tarvetta salata sisällön lisäksi myös itse tiedostonimet).
Järjestelmää koskevien raporttien keräämisen jälkeen hyökkäyksen seuraavassa vaiheessa alettiin hankkia käyttäjien salasanoja. Pohjimmiltaan tässä vaiheessa käytettiin myös yleisiä apuohjelmia, jotka takaovi käynnisti C&C-palvelimen komennolla:
- Windows NTLM hajautustyökalu fgdump ;
- salasana hash dumper pwdump7 ;
- gsecdump ja muut TrueSecin apuohjelmat;
- pass-the-hash -työkalupakki ja muut työkalut osoitteesta .
Kaikki ne tunnistetaan ei-viruksiksi tai hack-työkaluiksi, eivätkä ne käynnistä virustorjuntaohjelmia asianmukaisilla asetuksilla (jätä huomioimatta salasanatarkistusapuohjelmat).
Poimittuaan hash-salasanan (useimmiten - yksinkertaisimmilla sanakirjahyökkäyksillä) APT1 sai mahdollisuuden suorittaa etänä mitä tahansa toimintoa yrityksen todellisen työntekijän puolesta. Mukaan lukien uusien tietojenkalasteluviestien lähettäminen hänen osoitteestaan ja hänen tilinsä kautta yritysverkossa (sekä VPN-tilin kautta) hyökätäkseen johdon ja kumppaniorganisaatioiden tietokoneisiin. Juuri heistä ja niihin tallennetuista tiedoista tuli perimmäinen tavoite. Yhteensä APT1 vastaa korkean teknologian kehitystä koskevien tietojen varastamisesta yli sadalta suurelta kansainväliseltä yhtiöltä ja niihin liittyviltä yliopistoilta. Monet kohteet hyökkäsivät onnistuneesti useita kertoja.
Kiinalainen hakkeriryhmä APT3 (UPS Team)
Väitetään liittyvän MSS:ään – Kiinan kansantasavallan valtion turvallisuusministeriöön. Toimii Kiinan tietotekniikan arviointikeskuksen (CNITSEC) ja Guangdongin ITSEC-tietoturvakeskuksen kautta.
Juuri Guangdongin liikekeskuksessa - Huapu Square West Towerissa useiden suurten kohdistettujen hyökkäysten jäljet johtavat kerralla. Siinä on Boyusecin pääkonttori, joka yhdessä Huawein ja ZTE:n kanssa tekee yhteistyötä Shanghai Adups Technologyn kanssa, joka on CNITSECin keskeinen kumppani. 
Joka tapauksessa APT3 on teknisesti edistynein ryhmä. Se käyttää 0 päivän haavoittuvuuksia hyökkäyksissä, mukautettuja takaovia ja muuttaa jatkuvasti käytettyjen C&C-palvelimien, työkalujen ja menetelmien joukkoa. Sen lähestymistapoja havainnollistavat hyvin kolme suurta kohdennettua hyökkäystä, joita käsitellään tarkemmin alla.
Operaatio Underground Fox
APT, nimeltään Operation Clandestine Fox, alkoi keväällä 2014. Se vaikutti IE:hen kuudennesta yhdestoista versioon, joka NetMarketSharen mukaan oli noin kolmannes kaikista selaimista tuolloin.
Clandestine Fox käytti hyväkseen CVE-2014-1776-haavoittuvuutta, mikä johti Use-after-free-kekohyökkäykseen.
Dynaaminen muisti eli kasa on suunniteltu siten, että se ylikirjoitetaan jatkuvasti suuriksi lohkoiksi. Yleensä keonhallinta antaa seuraavan vapaan lohkon pyytäessä osoitteen, jonka jokin objekti juuri vapautti (varsinkin jos se on samankokoinen).
Use-after-free -hyökkäyksen ydin on, että objektin muistin vapauttamisen jälkeen osoitin ptr viittaa jonkin aikaa sen lohkon osoitteeseen kutsuessaan tämän objektin menetelmiä. Jos pyydämme ensin dynaamisen muistin varaamista ja yritämme sitten kutsua äskettäin vapautetun objektin menetelmää, keonhallinta todennäköisesti palauttaa vanhan osoitteen meille. Jos virtuaaliseen menetelmätaulukkoon (VMT, Virtual Method Table) sijoitetaan osoitin haitalliseen koodiin ja itse VMT kirjoitetaan uuden muistilohkon alkuun, haittaohjelma käynnistetään, kun sinne tallennetun objektin menetelmä nimeltään.
Tällaisen hyökkäysskenaarion estämiseksi käytetään satunnaistettua muistinvarausmekanismia, ASLR. Clandestine Fox -operaatio käytti kuitenkin yksinkertaisia menetelmiä sen ohittamiseksi.
Yksinkertaisin niistä on käyttää moduuleja, jotka eivät tue ASLR:ää. Esimerkiksi vanhat kirjastot MSVCR71.DLL ja HXDS.DLL, jotka on käännetty ilman uutta /DYNAMICBASE-vaihtoehtoa. Ne on ladattu samoihin osoitteisiin muistissa, ja ne olivat läsnä useimmissa tietokoneissa hyökkäyksen aikaan. IE lataa MSVCR71.DLL:n Windows 7:ssä (varsinkin kun yritetään avata ms-help://-alkuista ohjesivua), ja HXDS.DLL ladataan käytettäessä MS Office 2007- ja 2010-sovelluksia.
Lisäksi Clandestine Fox käytti tekniikkaa ohittaakseen Data Execution Prevention (DEP) -järjestelmän, jonka yksityiskohdat tulivat tunnetuksi vasta APT3-ryhmän seuraavaa hyökkäystä analysoitaessa.
Operaatio Underground Wolf
Clandestine Wolf -phishing-kampanja oli jatkoa "maanalaiselle ketulle", ja sen toteutti APT3 vuonna 2015. Siitä tuli yksi tehokkaimmista, koska se hyödynsi Adobe Flash Playerin puskurin ylivuotovirhettä, jolle ei tuolloin ollut korjaustiedostoa. Haavoittuvuus CVE-2015-3113 vaikutti kaikkiin soittimen nykyisiin Windows-, OS X- ja Linux-versioihin. Se mahdollisti mielivaltaisen koodin suorittamisen ilman käyttäjän vuorovaikutusta ja turvajärjestelmiä ohittaen.
APT3 houkutteli postituslistalle tarjouksella ostaa kunnostettuja iMakeja alennettuun hintaan. Sähköpostissa oleva linkki johti verkkosivulle, joka sisälsi flv-tiedoston ja käynnisti hyväksikäytön. Mielenkiintoista on, että hyväksikäyttö ohitti sisäänrakennetun DEP-suojauksen (Data Execution Prevention) sieppaamalla pinon (puhelupinon) hallinnan ja suorittamalla paluusuuntautuneen ohjelmoinnin (ROP) hyökkäyksen. Tämän hyökkäyksen aikana kutsuttiin Kernel32.dll:n VirtualAlloc-toiminto ja luotiin osoittimia syötettyyn shell-koodiin, ja se merkittiin suoritettavaksi.
Hyödyntäminen voitti myös toisen suojakerroksen hyödyntämällä tunnettuja virheitä osoitetilan satunnaistuksessa (ASLR) ja lisäämällä suoritettavaa koodia muihin prosesseihin (pääasiassa selainsäikeeseen).
ROP-hyökkäyksen piilottamiseksi verkkosivun hyväksikäyttö salattiin (RC4) ja sen salauksen purkuavain purettiin skriptillä viereisestä kuvasta. Siksi tartunnan saaneen verkkosivun virustorjunta ei myöskään havainnut mitään epäilyttävää.
Tämän seurauksena käyttäjän täytyi vain napsauttaa linkkiä asentaakseen takaoven tietokoneeseensa. Käyttöjärjestelmän ja selaimen sisäänrakennetut suojausmenetelmät tai yksittäiset virustorjuntaohjelmat eivät pystyneet suojaamaan 0day-hyökkäyksiltä.
Kaksoisnapautustoiminto
Double Tap -tietojenkalastelukampanja toteutettiin syksyllä 2014 käyttämällä kahta viimeaikaista haavoittuvuutta:
Ensimmäisen haavoittuvuuden avulla voit muuttaa VBScript-moottorin asettaman taulukon kokoa OleAut32.dll-kirjaston SafeArrayRedim-toiminnon virheen vuoksi. Toinen liittyy win32k.sys-järjestelmäohjaimeen ja johtaa käyttöoikeuksien eskaloitumiseen Windows-ytimen tasolla.
Hyökkäykset käynnistettiin käyttämällä iframe-elementtiä, joka on upotettu hakkeroitujen sivustojen sivuille ja HTML-sähköposteihin. Tällä kertaa syöttinä oli Playboy Clubin ilmainen kuukausitilaus, joka tarjoaa rajoittamattoman pääsyn korkearesoluutioisiin valokuviin ja Full HD -leikkeisiin. Linkki johti väärennettyyn verkkotunnukseen playboysplus.com.
Kun sitä napsautettiin, 46 kt:n install.exe-tiedosto ladattiin tietokoneeseen. Tämä on dropper-troijalainen, joka ei sisällä haitallisia toimintoja ja jota virustentorjunta ei havainnut allekirjoituksella tai heuristisella analyysillä hyökkäyksen aikaan. Se loi kaksi tiedostoa: doc.exe ja test.exe julkiseen käyttäjähakemistoon C:\Users\Public\ . Tämä kovakoodattu polku puuttui joistakin tietokoneista, mikä säästi ne tartunnalta. Sen sijaan riitti käyttää muuttujaa (esim. %USERPROFILE% tai %TEMP%), jotta niin monimutkainen hyökkäys ei pysähtynyt heti alkuun absoluuttisten polkujen väärinkäsityksen takia.
Doc.exe-tiedosto tuki 64-bittistä arkkitehtuuria ja sisälsi CVE-2014-4113-haavoittuvuuden hyväksikäytön. Sitä tarvittiin test.exe-takaoven suorittamiseen järjestelmäoikeuksilla. Käynnistyksen onnistuminen tarkistettiin konsolin komennolla whoami .
Test.exe puolestaan sisälsi koodin CVE-2014-6332-haavoittuvuuden hyväksikäyttöön, joka oli muunnos toiseen suosittuun Metasploitiin kuuluvaan hyväksikäyttöön.
Jos onnistui, takaovi asetti SOCKS5-välityspalvelimen ja lähetti lyhyen pyynnön (05 01 00) ensimmäisen tason C&C-palvelimelle numeroon 192.157.198.103, TCP-porttiin 1913. Jos se vastasi numerolla 05 00, takaovi liittyi toisen tason C&C-palvelimeen. palvelin osoitteessa 192.184. 60.229, TCP-portti 81. Sitten se kuunteli hänen kolmetavuisia komentojaan ja suoritti ne.
Hyökkäyksen kehittämisen aikana takaovi sai päivityksen, ja myöhemmin virustorjunta alkoi tunnistaa sitä nimellä Backdoor.APT.CookieCutter eli Pirpi .rundll32 . exe "%USERPROFILE%\Application Data\mt.dat" UpdvaMt
Rundll32 on apukonsoliohjelma, jonka avulla voit kutsua eksplisiittisesti määriteltyjä toimintoja, jotka on viety dynaamisista kirjastoista (DLL). Se luotiin alun perin Microsoftin sisäiseen käyttöön, mutta siitä tuli sitten osa Windowsia (95:stä alkaen). Jos kirjastoon pääsee muulla tavoin vain oikealla tunnisteella, Rundll32 jättää tiedostopäätteet huomioimatta.
johtopäätöksiä
Esiin tulleiden tosiasioiden perusteella suuret ammattihakkereiden tiimit työskentelevät Kiinan hallitukselle kyberturvallisuuden alalla. Joitakin heistä pidetään virallisesti armeijan yksiköinä - niille on myönnetty pääsy valtionsalaisuuksiin ja niitä vartioidaan samalla tavalla kuin esikunnan hälytysmiehiä. Toiset toimivat kaupallisten yritysten kautta ja tekevät hyökkäyksiä suoraan yrityskeskuksesta. Toiset taas ovat siviiliryhmiä, jotka vaihtuvat usein. Näyttää siltä, että jälkimmäisille uskotaan likaisimmat tapaukset, minkä jälkeen osa luovutetaan lainvalvontaviranomaisille hallitsevan puolueen maineen valkoiseksi. Rei'itystapauksessa heidät yksinkertaisesti nimitetään syyllisiksi ja seuraavat palkataan.
Saksalaisten poliitikkojen henkilötiedot ilmestyivät Webissä
Kuten 4. tammikuuta tuli tunnetuksi, vuoden 2018 lopussa Twitterissä ilmestyi linkkejä 994 saksalaisen poliitikon, näyttelijän, toimittajan ja muusikon henkilötietoihin - mukaan lukien passit ja luottokortit. Hessenin lukion 20-vuotias opiskelija pidätettiin jo 6. tammikuuta epäiltynä hakkerointia. Poliisin mukaan hän vietti paljon aikaa tietokoneen ääressä, mutta hänellä ei ole erityiskoulutusta.
Venäjän "karhut"
Viime vuosina uutiset hakkereista ja kyberhyökkäyksistä ovat yleistyneet. Usein hakkerointien tekijä johtuu useista hakkeriryhmistä - Cozy Bear (kirjaimellisesti "mukava karhu", joka tunnetaan myös nimellä APT29), Fancy Bear ("muodikas karhu", APT28) ja Energetic Bear ("energiakarhu"), jotka ovat yhteydessä Venäjän erikoispalveluihin. Todisteet ovat satunnaisia, mutta joka kerta niitä on enemmän ja enemmän.
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
Hyökkäykset Yhdysvaltojen ja Saksan sähköverkkoihin
Kesällä 2018 tuli tunnetuksi hakkeriryhmä Energetic Bear hyökkäyksistä Yhdysvaltojen ja Saksan energiaverkkoihin. Yhdysvaltain tiedustelupalveluiden mukaan murtovarkaat Yhdysvalloissa ovat jopa saavuttaneet pisteen, jossa he voivat kytkeä sähköt päälle ja pois ja katkaista energiavirrat. Saksassa hakkerit onnistuivat kuitenkin tunkeutumaan vain muutaman yrityksen verkkoihin ennen kuin Saksan tiedustelupalvelut ottivat tilanteen hallintaansa.
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
Yhdysvallat syyttää GRU:ta kyberhyökkäyksistä
13. heinäkuuta 2018 Yhdysvaltain oikeusministeriö (kuvassa osaston toimisto Washingtonissa) syytti 12 Venäjän kansalaista yrittämisestä sekaantua Yhdysvaltain vuoden 2016 presidentinvaaleihin. Tutkijoiden mukaan Venäjän armeijan pääesikunnan päätiedusteluosaston (GRU) työntekijät osallistuivat demokraattisen puolueen ja Hillary Clintonin kampanjan päämajan tietokonejärjestelmien hakkerointiin.
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
Yhdysvallat ja Britannia syyttävät Venäjää laajamittaisesta kyberhyökkäyksestä
FBI, Yhdysvaltain sisäisen turvallisuuden ministeriö ja Ison-Britannian kansallinen tietoturvakeskus ilmoittivat 16. huhtikuuta 2018, että venäläiset hakkerit hyökkäsivät valtion virastoihin ja yksityisiin yrityksiin yrittääkseen takavarikoida henkistä omaisuutta ja päästäkseen uhriensa verkkoihin. Samanlaisia syytöksiä esitti samana päivänä Australian puolustusministeri Maryse Payne.
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
Bad Rabbit iski Venäjälle ja Ukrainaan
Uusi Bad Rabbit -virus osui 24. lokakuuta useiden venäläisten tiedotusvälineiden palvelimille. Lisäksi hakkerit hyökkäsivät useisiin valtion instituutioihin Ukrainassa sekä Kiovan metrojärjestelmään, infrastruktuuriministeriöön ja Odessan lentokentälle. Aiemmin Bad Rabbit -hyökkäykset kirjattiin Turkissa ja Saksassa. Asiantuntijat uskovat, että virus leviää samalla tavalla kuin ExPetr (alias Petya).
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
Vuosisadan kyberhyökkäys
Toukokuun 12. päivänä 2017 tuli tunnetuksi, että kymmenet tuhannet tietokoneet 74 maassa joutuivat ennennäkemättömän mittakaavan kyberhyökkäyksen kohteeksi. WannaCry-virus salaa tietokoneiden tiedot, hakkerit lupaavat poistaa lukon 300 dollarin bitcoineilla. Erityisesti kärsivät brittiläiset lääkelaitokset, Saksan Deutsche Bahn, Venäjän federaation sisäministeriön, tutkintakomitean ja Venäjän rautateiden tietokoneet sekä Espanja, Intia ja muut maat.
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
Petya virus
Kesäkuussa 2017 voimakkaan Petya.A-viruksen hyökkäyksiä kirjattiin ympäri maailmaa. Se halvaansi Ukrainan hallituksen palvelimien, kansallisen postitoimiston ja Kiovan metron toiminnan. Virus vaikutti myös useisiin yrityksiin Venäjällä. Tietokoneet Saksassa, Isossa-Britanniassa, Tanskassa, Hollannissa ja Yhdysvalloissa osoittautuivat saastuneiksi. Ei ole tietoa siitä, kuka oli viruksen leviämisen takana.
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
Hyökkäys liittopäiviä vastaan
Toukokuussa 2015 havaittiin, että hakkerit olivat tunkeutuneet liittopäivien sisäiseen tietokoneverkkoon haittaohjelmalla ("troijalainen"). IT-asiantuntijat löysivät tästä hyökkäyksestä jälkiä APT28-ryhmästä. Virusohjelman venäjänkieliset asetukset ja niiden toiminta-ajat, jotka osuivat Moskovan virka-aikaan, osoittivat muun muassa hakkereiden venäläistä alkuperää.
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
Hillarya vastaan
Presidentinvaalikilpailun aikana hakkerit pääsivät kahdesti demokraattipuolueen ehdokkaan Hillary Clintonin palvelimille. Amerikkalaiset tiedustelupalvelut ja IT-yritykset ovat todenneet Cozy Bearin edustajien toimineen kesällä 2015 ja Fancy Bearin keväällä 2016. Yhdysvaltain tiedustelupalveluiden mukaan kyberhyökkäykset olivat Venäjän korkea-arvoisten viranomaisten luvan saaneet.
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
Merkelin puolue aseella
Toukokuussa 2016 tuli tunnetuksi, että Saksan liittokansleri Angela Merkelin Kristillisdemokraattisen unionin (CDU) päämajaan hakkeroitiin. IT-asiantuntijat väittivät, että Cozy Bear -hakkerit yrittivät päästä CDU:n tietokantoihin tietojenkalastelulla (lähettämällä sähköposteja, joissa oli linkkejä sivustoille, joita ei voi erottaa todellisista), mutta yritykset epäonnistuivat.
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
tyhmä hakkerointi
Syyskuussa 2016 Maailman antidopingtoimisto (WADA) ilmoitti, että sen tietokanta oli hakkeroitu. Fancy Bear -ryhmä on julkaissut nettiin asiakirjoja, joissa on luettelo urheilijoista, jotka WADA on valtuuttanut käyttämään kielletyn listan lääkkeitä (terapeuttiset poikkeukset) sairauksien hoidon yhteydessä. Heidän joukossaan olivat amerikkalaiset tennispelaajat Serena ja Venus Williams sekä voimistelija Simone Biles.
Hakkeroi minut kokonaan: viime vuosien korkean profiilin kyberhyökkäykset ja tietovuodot
500 miljoonaa Yahoo-tiliä
Helmikuussa 2017 Yhdysvaltain oikeusministeriö nosti syytteet tietojen varastamisesta yli 500 miljoonalta Yahoo-tililtä kahta FSB-upseeria Dmitri Dokuchaevia ja Igor Sushchinia vastaan. Kyberhyökkäys tapahtui vuoden 2014 lopussa. Syyttäjän mukaan FSB palkkasi tähän kaksi hakkeria. Hakkeroinnin uhrien joukossa oli venäläisiä toimittajia, Venäjän ja Yhdysvaltojen hallituksen virkamiehiä ja monia muita.
Kiinalaiset hakkerit, jotka tekevät yhteistyötä Kiinan valtion tiedustelupalvelun kanssa, ovat aktivoituneet ja heistä on tullut jälleen yleisiä laajamittaisten uhkien sankareita amerikkalaisessa mediassa. He vakoilevat muiden maiden armeijaa ja varastavat heidän strategista kehitystään, vakoilevat suuria yritysyrityksiä ja valtaavat Internet-verkot. Heidät on jo saatu kiinni amerikkalaisen aseteknologian varastamisesta ja avaruussatelliittijärjestelmiin murtautumisesta. Miten kiinalaiset kyberrikolliset terrorisoivat suuria maita - materiaalissa.
Viime vuoden aikana Kiinasta peräisin olevat Internet-vakoilijat on tuomittu useisiin Yhdysvaltain infrastruktuureihin kohdistuneista hyökkäyksistä kerralla. Avaruus- ja tietoliikenneteollisuus sekä merivoimien tietokoneverkot kärsivät. Kaikki todisteet viittaavat siihen, että hyökkäystä eivät tehneet vain tavalliset krakkarit, vaan kokopäiväiset sotilastiedustelun upseerit, joiden olemassaolon Kiinan hallitus edelleen kiistää.
Vika raudassa
Lokakuun alussa 2018 Bloombergin lähteet raportoivat, että Kiinan sotilastiedustelu oli seurannut lähes 30 amerikkalaista organisaatiota useiden vuosien ajan. Uhrien joukossa olivat kaupalliset IT-jättiläiset Apple ja suuret rahoituslaitokset ja valtion sotilasurakoitsijat. Yritysten laitteisiin rakennettiin mikrosiruja, jotka eivät kuuluneet pakkaukseen. Aineisto osoitti, että levyjen valmistuksen aikana voitiin sisällyttää riisinjyvien kokoisia vieraita laitteita, jotka pystyivät kommunikoimaan ulkoisten lähteiden kanssa ja valmistelemaan laitteen uudelleenkoodausta varten. Teknologiayritykset itse kiistivät tämän tiedon.
Kävi ilmi, että Supermicron palvelimiin oli upotettu vakoiluohjelmia. Yhtiö on markkinoiden tärkein levyjen toimittaja. Entinen Yhdysvaltain tiedusteluviranomainen, joka halusi pysyä nimettömänä, kutsui yritystä "ohjelmistomaailmaan". "Se on kuin hyökkäys koko maailmaa vastaan", hän päätti. Ennen tätä nimettömät lähteet raportoivat Kiinan kansantasavallan suunnitelmista soluttautua amerikkalaisille yrityksille tarkoitettuihin laitteistoihin. Riskialttiiden kumppaneiden joukossa olivat kiinalaiset jättiläiset Huawei ja ZTE, joiden väitetään tekevän tiivistä yhteistyötä Kiinan armeijan kanssa. Ennakkotapausten puuttuessa he eivät kuitenkaan voineet nostaa syytteitä ketään vastaan. Kiinan hallitus vastasi toteamalla, että se on vahva tietoturvan puolestapuhuja.
Kyberturvallisuusasiantuntijat ovat huomanneet, että he ovat jo nähneet samanlaisia "vikoja" muiden valmistajien laitteistoissa. Kaikki nämä laitteet on valmistettu Kiinassa. Tällaiset sirut voivat valvoa hiljaa yrityksen toimintaa vuosia ja ovat näkymättömiä virtuaalisille turvajärjestelmille. Myöhemmin kävi ilmi, että yrityssalaisuudet eivät olleet hakkereiden ainoa kiinnostuksen kohde: myös arkaluonteisia hallituksen verkkoja vastaan hyökättiin.
Tämä paljastus on vaikeuttanut jo ennestään kireää suhdetta Yhdysvaltojen ja Kiinan välillä. Yhdysvaltain oikeusministeriö pidätti 10. lokakuuta Kiinan valtion turvallisuusministeriön korkean virkamiehen Xu Yanjunin. Häntä syytetään taloudellisesta vakoilusta. Mies pidätettiin Belgiassa 1. huhtikuuta ja luovutettiin Yhdysvaltain viranomaisten pyynnöstä. Kiina kutsui Xua vastaan esitettyjä syytöksiä tekaistuiksi.
Dmitri Kosyrev, MIA "Russia Today" poliittinen kommentaattori
"Venäläisten hakkerien" metsästys Amerikassa ei johdu pelkästään russofobiaan: jää nähtäväksi kumpi pelkää enemmän meitä vai kiinalaisia. Tarinoita kiinalaisista hakkereista, jotka "uhkaavat Yhdysvaltoja", on paljon, vain me Venäjällä emme tätä ilmeisistä syistä huomaa - mutta Kiinassa niihin kiinnitetään huomiota.
Esimerkiksi
Tässä on tavallinen pohjimmiltaan materiaali amerikkalaisesta Foreign Policy -lehdestä. Yhdysvaltain syyttäjänvirasto paljasti Kiinan osavaltioon liittyvän hakkeriryhmän ja nosti syytteen epäillyistä. Heidän yrityksensä "Boyuisek" on jo suljettu.
Kolmen tietokoneneron (heidän nimensä ovat Wu, Dong ja Xia) väitetään hakkeroineen Siemensin amerikkalaisen divisioonan, Moody's-luokituslaitoksen ja Trimblen järjestelmiin. Kenen kanssa sitä ei tapahdu - ehkä he hakkeroivat, mutta sitten kuulostivat tutut motiivit. Kirjaimellisesti: "Yksityisen turvallisuusyrityksen kertyneet todisteet ja tutkimukset viittaavat siihen, että yritys on Kiinan voimakkaan valtion turvallisuusministeriön tytäryhtiö ja toimii ilmeisesti kybervakoilun rintamana."
Eräs nimeämätön yksityinen yritys "ehdottaa", että jotain sellaista "ilmeisesti" kuuluu... Mutta oliko tarkempia faktoja? Ja jos niitä ei ole, niin miksi mainita ne? Ja sitten mikä on niin pelottavaa. Suunnilleen kuten "venäläisten hakkereiden" kanssa, jotka, kuten Pokemonit, ovat olleet kiinni melkein vuoden ajan Yhdysvaltain kongressissa, ja siellä on sama asia: joku "kehottaa" ja "ilmeisesti".
Tarina on jopa hieman loukkaava - luulimme, että venäläisillä oli monopoli hakkerointiin Yhdysvalloissa. Mutta käy ilmi, että kiinalaiset vievät sen meiltä.
"Kiinafobia" ei muuten ravistele vain Amerikkaa. Siellä on myös kaukainen maailmanpolitiikan provinssi - Australia. Global Timesin Pekingin painos kertoo, kuinka sama tarina kehittyy nyt Australiassa kuin Yhdysvalloissa ja korkealla poliittisella tasolla. Senaattori Sam Dastiari jätti tehtävänsä paikallisessa kongressissa. Hän (jälleen "väitetysti") kertoi kiinalaiselle liikemiehelle nimeltä Huang Xiangmo, että Australian tiedustelupalvelut valvovat häntä. Jälleen kerran, kenelläkään ei ole todisteita, mutta koska he "väittävät", senaattorilla on vain yksi tapa - erota. Ja pääministeri Malcolm Turnbill, jonka "aiemmin sanottiin syöneen kiinalaisen sijoittajan kanssa", on erityisen innostunut tästä, ja tiedotusvälineet herättivät tästä kovaa huutoa.
Kyllä, en sanonut pääasiaa: Huang Xiangmo ei ole vain liikemies, vaan "häntä epäillään yhteyksistä Kiinan kommunistiseen puolueeseen".
Miten sitä "epäillään"? Puhumme hänen maansa hallitsevasta puolueesta, miten teillä ei voi olla mitään yhteyksiä siihen? Puhumattakaan siitä, mitä puolue yleensä tarkoittaa, kunhan muistamme, että se koostuu lähes 90 miljoonasta ihmisestä. Mutta tässä palaamme Yhdysvaltoihin ja muistamme, että kaikki amerikkalaisen tapaaminen Venäjän suurlähettilään tai kenen tahansa venäläisen kanssa ylipäätään oli siellä kauhea syytös.
Ja tällaisia tarinoita on paljon Yhdysvalloissa ja satelliittimaissa.
Yleisesti ottaen asia ei koske vain Venäjää. Ja ilmiön alustava diagnoosi on yleensä selvä: vainoharhaisuus. Ainoat jäljellä olevat kysymykset ovat, miksi se syntyi juuri nyt ja mitä ominaisuuksia siinä on. Yksityiskohdissa, kuten aina, mielenkiintoisin.
Selvennetään diagnoosia
Yllä mainitussa kiinalaisessa materiaalissa Australian skandaaleista lainataan pitkään yhtä Australian entisistä pääministereistä Tony Abbottia. Nimittäin Australian Kiina-politiikkaa ohjaa kaksi tunnetta: pelko ja ahneus. Ahneus, koska ilman kiinalaisia sijoittajia ja kauppakumppaneita Australia näyttää hyvin kalpealta. Pelko johtuu samasta syystä.
Mutta sama se on Yhdysvalloissa. Tässä ovat tosiasiat: Kiinalaiset turistit, opiskelijat ja muut osavaltioiden vierailijat antoivat tälle maalle noin 30 miljardia dollaria vuonna 2015. Vuodesta 2016 lähtien tavarakauppa oli 510 miljardia, palvelu - 110 miljardia, ja keskinäiset investoinnit ovat kasvaneet 170 miljardiin.
Tämä tarkoittaa, että vuodesta 1979 lähtien (jolloin Kiina sellaisena kuin sen nykyään tunnemme oli vasta alussa) kauppa Amerikan kanssa on kasvanut 207-kertaiseksi. Se tarkoittaa myös sitä, että Kiina on Yhdysvaltojen ensimmäinen kauppakumppani ja valtiot Kiinan toiseksi (EU kokonaisuudessaan on ensimmäisellä sijalla).
Ja tässä meillä on vakava kontrasti Venäjän ja Yhdysvaltojen väliseen tilanteeseen, jossa liikesuhteet ovat kymmenen kertaa heikommat. Siksi voit huutaa ääneen "venäläisistä hakkereista", mutta kiinalaisten kanssa kaikki on jotenkin epäselvää - ahneus törmää pelon kanssa.
Samaan aikaan, kun kiinalaiset sijoittajat haluavat ostaa jotain tärkeää ja strategista Yhdysvalloille, pelko voittaa. Ja muissa tapauksissa, kuten presidentti Donald Trumpin äskettäisellä vierailulla Pekingissä, jossa hän allekirjoitti monia taloudellisia sopimuksia, ahneus (ja halu "tehdä Amerikasta jälleen suureksi") voittaa.
Huomattakaamme myös, kuinka Kiinan viranomaiset ja media reagoivat seuraaviin amerikkalaisen sinofobian hyökkäykseen - kuin iso koira hysteerisesti haukkuvaan sekarotuiseen. Kiinalaiset selittävät kärsivällisesti: haukkukaa niin paljon kuin haluatte, se ei muuta sitä tosiasiaa, että olemme taloudellisesti tiukasti sidoksissa.
Ja tämä puhumattakaan siitä tosiasiasta, että Kiina (kuten Venäjä) ei ollenkaan aio tuhota Amerikkaa globaalilla tasolla. Kuten yksi London Economist -lehden kirjoittajista totesi, kiinalaiset ajatukset "vaihtoehdosta lännelle" kuulostavat näyttäviltä, mutta ne on muotoiltu epämääräisesti, eikä ole selvää, mitä ne käytännössä tarkoittavat. Eli ei ole mitään pelättävää.
... Yksinkertaisin ja tieteenvastaisin sanoin - antakaa asiantuntijat anteeksi - vainoharhaisuus tarkoittaa sosiaalisesti aktiivisen ihmisen kyvyttömyyttä arvioida oikein paikkaansa yhteiskunnassa: hän ajattelee aina, että kaikki hänen ympärillään joko ihailevat häntä tai vihaavat häntä ja vainoavat häntä . Skitsofreenikko päinvastoin on unelmoija, joka lähtee yhteiskunnasta omaan illusoriseen maailmaansa. Mutta on myös vainoharhainen skitsofrenia, joka yhdistää molemmat ääripäät.
Joten Yhdysvaltojen ja lännen raivokohtaukset venäläisten ja kiinalaisten hakkereiden takia (ja yleensä heidän muuttuvasta paikastaan maailmassa) näyttävät enemmän vainoharhaiselta skitsofrenialta. Toisaalta haluan elää illuusiossa omasta yksinoikeudestani, ja vielä paremmin, kehittää kauppaa ja investointeja muiden voimien kanssa. Toisaalta on jatkuvaa epäilystä, että nämä "muut" vihaavat sinua ja haluavat tuhota sinut.
Yleensä ahneus ja pelko.
