Tungkol sa mga teknolohiyang militar, isang pagsusuri sa antas ng kahinaan ng buong sistema ay inilunsad.
Washington. Ang mga hacker ng China ay nagta-target sa mga sistema ng mga kontratista ng U.S. Navy na nakawin ang lahat mula sa data ng pagpapanatili ng barko hanggang sa impormasyon sa mga missile na dala nila, sinabi ng mga opisyal at eksperto, na nag-udyok ng isang masusing pagsusuri ng mga kahinaan sa cyber sa mga sistema ng mga kumpanya.
Ang isang serye ng mga cyberattack sa nakalipas na taon at kalahati ay naglantad ng mga kahinaan sa mga sistemang iyon, na naging kung ano ang sinasabi ng ilang opisyal na isa sa mga pinakanakapipinsalang cyber campaign na naka-link sa Beijing.
Naapektuhan ng mga cyberattack na ito ang lahat ng sangay ng militar ng U.S., ngunit ang mga kontratista ng U.S. Navy at Air Force ay tila partikular na interesado sa mga hacker na naghahanap ng advanced na teknolohiyang militar.
Ang mga kontratista ng US Navy ang pinakamahirap na tinamaan sa nakalipas na taon, ayon sa isang opisyal ng US.
Ang data na sinasabing ninakaw mula sa mga contractor at subcontractor ng U.S. Navy ay kadalasang napakahalaga ng classified information na nauugnay sa advanced na teknolohiyang militar. Ang mga biktima ng mga hacker ay hindi lamang malaki, kundi pati na rin ang mga maliliit na kumpanya na sadyang walang sapat na mapagkukunan upang mamuhunan sa pagprotekta sa kanilang mga computer system.
Sa isa sa mga pinakamalaking hack, na iniulat noong Hunyo, ninakaw ang mga lihim na plano para sa isang supersonic na anti-ship missile na sinabi ng mga opisyal ng US na ilalagay sa mga submarino ng US. Inatake ng mga hacker ang isang hindi pinangalanang kumpanya na nagtrabaho sa ilalim ng isang kontrata para sa Naval Undersea Warfare Center ng US Navy sa Newport.
Tina-target din ng mga hacker ang mga unibersidad na may mga espesyal na laboratoryo para sa pagbuo ng mga bagong teknolohiya na magagamit ng Navy at iba pang tropa. Ito ay pinatutunayan ng data mula sa mga pag-audit na isinagawa ng mga kumpanyang dalubhasa sa mga isyu sa cybersecurity.
Ang US Navy Secretary Richard Spencer ay nag-utos ng pagsusuri sa mga kahinaan sa mga sistema ng kanyang militar na maaaring makatulong sa mga kalaban na makakuha ng access sa sensitibong impormasyon. Ang mga classified na resulta ng isang paunang pagtatasa ng problema, na ibinigay kay Mr. Spencer ilang araw na ang nakalipas, ay nagpapatunay sa bisa ng alarma at nagtakda ng yugto para sa isang tugon mula sa US Navy, sinabi ng mga opisyal.
Tumanggi ang mga opisyal ng Navy na sabihin nang eksakto kung gaano karaming mga pag-atake ang naisagawa sa nakalipas na taon at kalahati, ngunit sinabi nila na mayroong "medyo kaunti," idinagdag na ang mga pag-atake ay hindi katanggap-tanggap.
"Ang mga pag-atake sa aming mga system ay hindi bago, ngunit ang mga pagtatangka na magnakaw ng sensitibong impormasyon ay nagiging mas aktibo at sopistikado," isinulat ni Mr. Spencer sa isang memo na nakuha ng Wall-Street Journal noong Oktubre. "Dapat tayong kumilos nang mapagpasyahan upang lubos na maunawaan ang katangian ng mga pag-atake na ito at kung paano natin mapipigilan ang karagdagang pagkawala ng pangunahing impormasyon."
Walang binanggit sa memo ni Mr. Spencer ang China. Ngunit, ayon sa mga opisyal, ang mga biktima ng pag-atake ng hacker ay ang mga kumpanyang interesado ang China. Bilang karagdagan, ang mga hacker ay nag-iwan ng mga bakas na nagpapahiwatig ng paglahok ng Beijing.
Noong Biyernes, Disyembre 14, sinabi ng mga opisyal ng U.S. Navy na ang memo ni Mr. Spencer "ay sumasalamin sa kaseryosohan kung saan ang [Navy] ay nagbibigay-priyoridad sa cybersecurity sa isang panahon ng renewed power struggle upang matiyak na ang ating Navy at Marine Corps ay maaaring mapanatili at palaguin ang ating militar na bentahe sa ibabaw. anumang kaaway."
Hindi tumugon ang mga opisyal ng China sa aming kahilingan para sa komento, ngunit tinanggihan nila ang anumang pagkakasangkot sa cyberattacks.
Habang ang karamihan sa mga pag-atake ay kinasasangkutan ng mga hacker na sinusubukang magnakaw ng sensitibong data, sinabi ng mga opisyal ng Navy na nais ding ipakita ng China na maaari itong magdulot ng ibang uri ng banta kahit na ang hukbong-dagat at air force ng China ay mas mababa kaysa sa America.
"Tinatarget nila ang aming mahinang tiyan," sabi ng isang opisyal ng depensa. "Ito ay isang asymmetrical na paraan upang atakehin ang Estados Unidos nang hindi kinakailangang magpaputok."
Ang mga bakas na tumuturo sa mga Chinese hacker ay kinabibilangan ng ebidensya ng malware na malayuang kinokontrol mula sa isang computer address na matatagpuan sa Hainan Island, pati na rin ang dokumentadong paggamit ng ilang tool na karaniwan sa mga Chinese hacking group.
Si Tom Bossert, na hanggang Abril ay tagapayo sa seguridad ng tinubuang-bayan ni Pangulong Trump, ay nagsabi na ang Chinese hack sa militar ng U.S. at iba pang mga organisasyon para sa iba't ibang mga kadahilanan - kung minsan upang sabotahe ang mga sistema ng Amerikano, kung minsan ay upang magnakaw ng impormasyon, kung minsan ay upang makakuha ng competitive na kalamangan sa pamamagitan ng pagnanakaw ng intelektwal. ari-arian. Sinasabi ng mga opisyal ng US na mayroon silang mga sensitibong mapagkukunan at mga diskarte na nagpapahintulot sa kanila na tiyakin na ang China ay may pananagutan sa mga pag-atake ng pag-hack.
"Napakahirap para sa Kagawaran ng Depensa na protektahan ang sarili nitong mga sistema," sabi ni G. Bosser. "Ito ay isang bagay ng pagtitiwala at pag-asa na protektahan ang mga sistema ng mga kontratista at subcontractor nito."
Dumating ang pagsusuri ni Mr. Spencer sa panahon na sinusubukan ng Departamento ng Depensa na pangunahan ang higanteng burukrasya nito patungo sa mas responsableng mga kasanayan sa cybersecurity at kumbinsihin ang mga subcontractor na protektahan ang kanilang mga system.
Ang mga subcontractor na nagtatrabaho para sa iba't ibang sangay ng militar ay kadalasang nahuhuli sa mga isyu sa cybersecurity at kadalasang biktima ng mga pag-atake ng pag-hack na sumasalot sa ibang mga sangay, sabi ng isang opisyal.
Naniniwala ang mga senior na opisyal ng Pentagon na ang proseso para sa pag-secure ng mga proyekto na isinasagawa sa interes ng militar ay hindi nagpapahintulot sa responsibilidad para sa cybersecurity na italaga sa mga kontratista at subcontractor.
Ang pagsusuri ni Mr. Spencer ay kasabay ng pagtulak ng administrasyong Trump na panagutin ang Tsina para sa patuloy na pagsisikap nitong magnakaw ng impormasyon mula sa mga kumpanya ng U.S. sa pamamagitan ng cyberattacks at ang pangangalap ng mga empleyado ng mga kumpanyang iyon para sa pakinabang ng ekonomiya at pag-unlad ng militar.
Ang mga hacker ng China ay inakusahan ng pagnanakaw ng bilyun-bilyong dolyar sa isang taon sa intelektwal na ari-arian mula sa mga kumpanya ng US, at ang US Justice Department ay nagsampa ng mga singil sa nakalipas na ilang linggo, na sinisisi ang Beijing. Higit pang mga kaso ang inaasahang ihaharap laban sa mga hacker ng Tsino sa linggong ito, ngunit napigilan sila dahil maaari nilang ilantad ang sensitibong data. Bilang karagdagan, ang mga imbestigador ay kumbinsido na ang pag-atake ng hacker kamakailan na iniulat ng Marriott International ay gawa ng mga Chinese.
Natukoy ng mga eksperto sa cybersecurity na ang pag-hack sa mga contractor at subcontractor ng U.S. Navy ay isinagawa ng mga miyembro ng isang di-umano'y hacking squad ng gobyerno ng China na tinatawag na Temp.Periscope o Leviathan, na kadalasang gumagamit ng mga phishing scheme para makapasok sa mga network ng computer.
Ang grupong ito ay naging aktibo mula noong hindi bababa sa 2013, at ang mga aktibidad nito ay pangunahing nakadirekta laban sa mga kumpanyang Amerikano at Europeo.
Kapansin-pansing bumaba ang aktibidad ng Temp.Periscope noong 2015 - noong panahong nilagdaan ni Pangulong Barack Obama noon ng US at pinuno ng Tsina na si Xi Jinping ang isang bilateral na kasunduan kung saan nangako silang pigilin ang pang-ekonomiyang paniniktik, at sa gitna ng proseso ng muling pag-aayos ng militar ng China, gaya ng iniulat ng Amerikano. kumpanyang FireEye, na malapit na sinusubaybayan ang mga aktibidad ng grupong ito ng mga hacker. Noong kalagitnaan ng 2017, napunta muli ang Temp.Periscope.
Sa nakalipas na mga linggo, sinabi ng mga opisyal ng US na huminto ang China sa pagsunod sa mga tuntunin ng kasunduang iyon.
Ben Read, isang senior analyst sa FireEye, nabanggit na ang Temp.Periscope ay isa sa mga pinaka-aktibong Chinese hacking group na sinusubaybayan ng kanyang kumpanya sa nakalipas na taon. Pangunahing pinupuntirya ng mga aktibidad ng grupo ang mga kumpanyang nauugnay sa Navy, ngunit nagsagawa rin ito ng mga pag-atake laban sa iba pang mga organisasyon na maaaring nauugnay sa mga estratehikong interes ng China sa South China Sea, kabilang ang ilang mga organisasyong pampulitika ng Cambodian.
"Kahit na sila ay pangunahing nakatuon sa mga kumpanyang nagtatrabaho sa Navy, sila ay sa ilang mga paraan ay isang ganap na serbisyo ng katalinuhan," sabi ni Mr. Reed.
Ang karamihan ng mga naka-target na pag-atake sa mga nakaraang taon ay humahantong sa Asya, kung saan ang mga server ng Shanghai ay namumukod-tangi bilang isang maliwanag na lugar. Sa panahon ng mga pagsisiyasat, napapansin ng mga eksperto ang mga marker gaya ng mga Chinese IP address, timestamp, setting ng wika at software na partikular sa China. Sa artikulong ito susubukan naming malaman kung sino ang nag-oorganisa ng mga pag-atake ng hacker na ito at kung anong mga partikular na grupo ng hacker ang nasa likod nito.
Ang pagsisiyasat ng malakihang naka-target na mga pag-atake kung minsan ay tumatagal ng maraming taon, kaya ang mga detalye ng pagpapatupad ng mga ito ay hindi agad nalalaman. Bilang panuntunan, sa oras na mailathala ang mga ito, ang lahat ng ginamit na kahinaan ay nata-patch, ang mga nakakahamak na bahagi ay idinaragdag sa mga database ng anti-virus, at ang mga server ng C&C ay hinarangan. Gayunpaman, kung ano ang kawili-wili sa mga naturang ulat ay ang mga pamamaraan na patuloy na ginagamit sa mga bagong pag-atake na may maliit na pagbabago.
Chinese hacker group na APT1 (aka Comment Crew)
Nakatanggap ang pangkat ng hacker na ito ng identifier number one at higit na nag-ambag sa pagpapasikat ng terminong APT attack - Advanced Persistent Threat. Nagtakda ito ng uri ng record para sa dami ng data na ninakaw mula sa isang organisasyon: sa loob ng sampung buwan, nag-download ang APT1 ng 6.5 TB ng mga dokumento mula sa mga na-hack na server.
Maraming ebidensya na ang APT1 ay nilikha ng Chinese Ministry of Defense batay sa Unit 61398 ng People's Liberation Army of China (PLA). Ayon sa mga eksperto sa FireEye, ito ay tumatakbo mula noong 2006 bilang isang hiwalay na istraktura ng Third Directorate ng PLA General Staff. Sa panahong ito, nagsagawa ang APT1 ng hindi bababa sa 141 naka-target na pag-atake. Mahirap magbigay ng eksaktong numero, dahil ang ilang insidente sa seguridad ng impormasyon ay pinatahimik, at para sa mga kilalang pag-atake ay hindi laging posible na patunayan na kabilang sila sa isang partikular na grupo.
Aktibidad ng APT1 ayon sa rehiyon, larawan: fireeye.com
Alinsunod sa doktrina ng pampulitikang pamumuno ng bansa na "manalo sa mga digmaang pang-impormasyon," ang APT1 ay binago at pinalakas noong 2016.
Ang pagtatayo ng bagong base ng APT1 ay nagsisimula sa 2013, larawan: DigitalGlobeNgayon ay mayroon na itong ilang libong tao sa mga tauhan nito. Pangunahing binubuo ng mga nagtapos mula sa Zhejiang University at Harbin Polytechnic University na may mahusay na kaalaman sa Ingles.
Sa heograpiya, ang APT1 ay naka-headquarter sa Pudong (isang bagong lugar ng Shanghai), kung saan nagmamay-ari ito ng malaking complex ng mga gusali. Ang mga pasukan sa kanila ay binabantayan, at ang buong perimeter ay napapailalim sa kontrol sa pag-access, tulad ng sa isang base militar.
Gearbox batay sa APT1, larawan: city8.comUpang pabilisin ang aktibong yugto ng pag-atake at takpan ang mga track nito, ginamit ng APT1 ang “boost airfields”—mga infected na computer na kinokontrol sa pamamagitan ng RDP at FTP server na nagho-host ng payload. Lahat sila ay heograpikal na matatagpuan sa parehong rehiyon kung saan matatagpuan ang mga target.
Sa loob ng dalawang taong panahon ng pagmamasid, natuklasan ng FireEye ang 1,905 na kaso ng naturang mga intermediate node mula sa 832 iba't ibang mga IP address, kung saan 817 sa mga ito ang humahantong sa mga network ng Shanghai ng China Unicom at China Telecom, at ang mga talaan ng pagpaparehistro ng Whois ay direktang itinuro sa Pudong, kung saan, sa bilang karagdagan sa punong-tanggapan ng APT1 , walang mga organisasyong may katulad na laki.
Ang mga intermediate node na ito ay karaniwang pinamamahalaan gamit ang isang HTRAN proxy (HUC Packet Transmit Tool) mula sa 937 iba't ibang server na kinokontrol ng APT1.
Sa mga pag-atake nito, gumamit ang APT1 ng 42 backdoors mula sa iba't ibang pamilya. Ang ilan sa mga ito ay isinulat nang matagal na ang nakalipas, ipinamahagi sa darknet o binago sa pagkakasunud-sunod (Poison Ivy, Gh0st RAT at iba pa), ngunit kabilang sa hanay na ito ng Backdoor.Wualess at ang mga pagbabago nito sa ibang pagkakataon ay namumukod-tangi. Ito ay tila sariling pag-unlad ng APT1.
Tulad ng iba pang naka-target na pag-atake, sa mga sitwasyong APT1, ang payload ay inihatid sa mga computer ng mga biktima gamit ang mga pamamaraan ng social engineering (sa partikular, spear phishing). Ang pangunahing functionality ng Wualess backdoor ay nakapaloob sa wuauclt.dll library, kung saan ang Trojan dropper mula sa infected na email ay inilagay sa target na Windows computer sa system directory (%SYSTEMROOT%\wuauclt.dll).
Sinuri ng backdoor ang mga nakaraang impeksyon at, kung kinakailangan, irehistro ang sarili nito sa registry bilang isang serbisyo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start" = "2" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll" |
- NameLess.3322.org, TCP port 5202;
- sb.hugesoft.org, TCP port 443.
Ang huling port ay ginagamit ng mga browser bilang default para sa mga koneksyon sa HTTPS, kaya hindi ito karaniwang hinaharangan ng mga firewall.
Sa pagtanggap ng utos, ginawa ng backdoor ang isa sa mga sumusunod na aksyon:
- sinuri ang bilis ng koneksyon;
- nakolekta at nagpadala ng data tungkol sa system at mga user;
- kumuha ng screenshot at ipinadala ito;
- na-clear ang cache ng DNS at pinalitan ang mga entry dito;
- na-download at inilunsad ang susunod na malware;
- tinapos ang mga tinukoy na proseso sa memorya;
- naghanap at nagpadala ng mga file na nakakatugon sa tinukoy na pamantayan (pangunahin ang mga dokumento sa mga format ng opisina at mga archive);
- na-update ang aking bersyon;
- nag-save ng kopya nito sa isang recovery point (System Volume Information)
Pinahirapan ng huling feature na ganap na alisin ang backdoor, dahil karaniwang hinaharangan ng OS ang pag-access sa direktoryo ng \System Volume Information\.
Ang mga pagbabago sa ibang pagkakataon (halimbawa, Wualess.D) ay gumamit ng mga random na pangalan ng file, isang malaking hanay ng mga numero ng port upang kumonekta sa mga server ng C&C, at tumakbo bilang isang nakatagong kopya ng proseso ng iexplore.exe.
Ang isa pang katangian ng APT1 ay ang paggamit ng WEBC2 backdoors. Mayroon silang kaunting hanay ng mga function (pangunahing ginagamit upang mangolekta ng impormasyon) at kumonekta upang kontrolin ang mga server tulad ng isang browser. Ang backdoor ay tumatanggap ng isang web page mula sa server, ang mga tag na naglalaman ng mga control command. Ang ganitong trapiko ay mukhang aktibidad sa network ng gumagamit at kadalasan ay hindi nagpapalaki ng hinala sa mga behavioral analyzer ng mga sistema ng seguridad.
Kabilang sa iba pang mga diskarte sa traffic obfuscation na ginagamit ng APT1, ang backdoors MaCroMaIL (ginagaya ang pagpapatakbo ng MSN Messenger), GLooxMaIL (ginagaya ang Jabber/XMPP client) at CaLenDar (ang data exchange nito ay katulad ng pag-synchronize ng isang Google calendar) na namumukod-tangi para sa pagkonekta sa mga server ng C&C.
Upang mangolekta ng impormasyon tungkol sa mga infected na computer, gumamit ang APT1 ng mga built-in na tool sa Windows, na tinawag sa pamamagitan ng isang batch file (.bat) na ginawa ng backdoor kapag iniutos. Ipaalala ko sa iyo na ang > sign ay nagpapahiwatig ng pag-redirect ng output sa isang file sa halip na ipakita ito sa screen, at ang extension ng log file ay hindi mahalaga, dahil sa panloob ito ay isang plain-text na format sa ASCII/DOS encoding.
@echo off // Huwag paganahin ang output ng command ipconfig /all>%TEMP%\ipconfig. log // Nag-iimbak ng kumpletong impormasyon sa pagsasaayos ng IP protocol, isang listahan ng lahat ng mga adapter ng network at ang kanilang mga MAC address netstat -ano > %TEMP%\netstat. log // Ipinapakita ang lahat ng koneksyon sa network at mga bukas na port, na nagpapahiwatig ng bawat proseso ng ID at mga address ng network sa numeric na format net start > %TEMP%\services. log // Naglilista ng lahat ng tumatakbong serbisyo ng Windows tasklist /v>%TEMP%\tasks. Lst // Bumubuo ng listahan ng lahat ng tumatakbong proseso at ang mga mapagkukunan sa pag-compute na kanilang kinokonsumo net user > %TEMP%\users. Lst // Nagse-save ng listahan ng mga Windows account mula sa lokal na database net localgroup administrators > %TEMP%\admins. Lst // Nagpapakita ng listahan ng mga account na miyembro ng lokal na grupo ng Administrators net use > %TEMP%\shares. net // Nagpapakita ng listahan ng mga koneksyon sa mga pagbabahagi ng network net view > %TEMP%\hosts. dmn // Nagpapakita ng listahan ng mga host sa kasalukuyang domain o network |
Ginagamit din ang naaangkop na mga utos tulad ng net group
Ito ay salamat sa pagiging primitive nito na ang pamamaraang ito ng pagkolekta ng impormasyon ay nagtrabaho nang walang kamali-mali. Available ang mga built-in na diagnostic tool sa anumang computer na nagpapatakbo ng anumang bersyon ng Windows. Tinatanggal ng variable na %TEMP% ang pangangailangang maghanap ng folder para mag-save ng mga log. Sinumang user (at isang backdoor na tumatakbo kasama ang kanyang mga karapatan) ay maaaring sumulat sa direktoryo para sa mga pansamantalang file. Wala ni isang antivirus ang nagrereklamo tungkol sa mga text format na file (lalo na sa karaniwang uri ng mga log), at para sa user ay mukhang ganap silang hindi nakakapinsala - tulad ng pagkolekta ng telemetry mula sa Microsoft o mga regular na pagsusuri ng admin.
Ang pagkakaiba lang ay ang mga nakolektang log ay pagkatapos ay naka-package sa isang .rar archive at ipinadala sa mga APT1 server upang pumili ng karagdagang mga target. Upang gawing kumplikado ang pagsusuri ng pagtagas ng data, ang archive.rar na naglalaman ng mga log ay nilikha gamit ang -hp key (ipinapahiwatig ang pangangailangan na i-encrypt hindi lamang ang mga nilalaman, kundi pati na rin ang mga pangalan ng file mismo).
Matapos mangolekta ng mga ulat ng system, ang susunod na yugto ng pag-atake ay nagsimulang makakuha ng mga password ng user. Karaniwan, ang hakbang na ito ay gumamit din ng mga pampublikong magagamit na utility na inilunsad ng backdoor sa utos mula sa C&C server:
- programa para sa pagkolekta ng mga hash ng password ng NTLM sa Windows fgdump;
- password hash dumper pwdump7 ;
- gsecdump at iba pang mga utility mula sa TrueSec;
- pass-the-hash toolkit at iba pang mga tool mula sa .
Ang lahat ng mga ito ay kinikilala bilang hindi-virus o hacktool at hindi nagpapalitaw ng mga antivirus program na may naaangkop na mga setting (balewala ang mga utility sa pag-audit ng password).
Sa pamamagitan ng paghahanap ng isang pares ng hash-password (madalas na gumagamit ng mga simpleng pag-atake sa diksyunaryo), nagawa ng APT1 nang malayuan ang anumang mga aksyon sa ngalan ng isang tunay na empleyado ng kumpanya. Kabilang dito ang pagpapadala ng mga bagong phishing na email mula sa kanyang address at sa pamamagitan ng kanyang account sa corporate network (pati na rin sa pamamagitan ng kanyang VPN account) upang atakehin ang mga computer ng pamamahala at mga kasosyong organisasyon. Sila at ang data na nakaimbak sa kanila ang naging pangwakas na layunin. Sa kabuuan, ang APT1 ay may pananagutan sa pagnanakaw ng impormasyon tungkol sa mga high-tech na pag-unlad mula sa higit sa isang daang malalaking internasyonal na kumpanya at nauugnay na mga unibersidad. Maraming mga target ang matagumpay na naatake ng ilang beses.
Chinese hacker group na APT3 (UPS Team)
Malamang na nauugnay sa MSS - Ministry of State Security ng People's Republic of China. Gumagana sa pamamagitan ng China Information Technology Evaluation Center (CNITSEC) at ng Guangdong ITSEC Security Center.
Nasa business center ng Guangdong - Huapu Square West Tower ang mga bakas ng ilang malalaking target na pag-atake nang sabay-sabay. Dito matatagpuan ang punong-tanggapan ng Boyusec, na, kasama ng Huawei at ZTE, ay nakikipagtulungan sa Shanghai Adups Technology, isang pangunahing kasosyo ng CNITSEC. 
Sa isang paraan o iba pa, ang APT3 ay ang pinaka-technical na advanced na grupo. Gumagamit ng 0day vulnerabilities at custom na backdoors sa mga pag-atake, patuloy na binabago ang set ng mga server ng C&C, mga tool at pamamaraan na ginamit. Ang mga diskarte nito ay mahusay na inilalarawan ng tatlong pangunahing naka-target na pag-atake, na tatalakayin nang mas detalyado sa ibaba.
Operation "Underground Fox"
Ang isang APT na tinatawag na Operation Clandestine Fox ay nagsimula noong tagsibol ng 2014. Naapektuhan nito ang IE mula sa mga bersyon na anim hanggang labing-isa, na, ayon sa NetMarketShare, ay humigit-kumulang sa ikatlong bahagi ng lahat ng mga browser noong panahong iyon.
Sinamantala ng Clandestine Fox ang vulnerability na CVE-2014-1776, na humahantong sa isang use-after-free na pag-atake gamit ang heap.
Ang dynamic na memorya, o heap, ay idinisenyo sa paraang patuloy itong na-overwrite sa malalaking bloke. Karaniwan, kapag ang isang kahilingan para sa susunod na libreng bloke ay ginawa, ibabalik ng heap manager ang address ng isa na kakalaya lang ng ilang bagay (lalo na kung ito ay pareho ang laki).
Ang kakanyahan ng Use-after-free na pag-atake ay na pagkatapos ng isang bagay na palayain ang memorya, ang address ng block nito ay tinutukoy pa rin ng ptr pointer sa loob ng ilang oras kapag tinawag ang mga pamamaraan ng bagay na ito. Kung humiling muna kami ng heap allocation at pagkatapos ay subukang tumawag ng paraan sa bagong laya na bagay, malamang na ibabalik ng heap manager ang lumang address. Kung maglalagay ka ng pointer sa malisyosong code sa virtual method table (VMT), at isulat ang VMT mismo sa simula ng bagong memory block, ilulunsad ang malware kapag tinawag ang isang paraan ng isang bagay na dati nang nakaimbak doon.
Ang Randomized Memory Allocation Mechanism (ASLR) ay idinisenyo upang maiwasan ang gayong senaryo ng pag-atake. Gayunpaman, ang Operation Clandestine Fox ay gumamit ng mga simpleng paraan upang lampasan ito.
Ang pinakasimple sa mga ito ay ang paggamit ng mga module na hindi sumusuporta sa ASLR. Halimbawa, ang mga lumang library ng MSVCR71.DLL at HXDS.DLL, na pinagsama-sama nang walang bagong /DYNAMICBASE na opsyon. Ang mga ito ay na-load sa parehong mga address sa memorya at naroroon sa karamihan ng mga computer sa oras ng pag-atake. Ang MSVCR71.DLL ay ni-load ng IE sa Windows 7 (partikular kapag sinusubukang buksan ang pahina ng tulong na nagsisimula sa ms-help://), at ang HXDS.DLL ay nilo-load kapag nagpapatakbo ng MS Office 2007 at 2010 na mga application.
Bukod pa rito, gumamit ang Clandestine Fox ng isang diskarte upang i-bypass ang Data Execution Prevention (DEP) system, ang mga detalye tungkol sa kung saan ay nalaman lamang sa panahon ng pagsusuri ng susunod na pag-atake ng APT3 group.
Operation Underground Wolf
Ang Clandestine Wolf phishing campaign ay isang pagpapatuloy ng kampanyang "underground fox" na isinagawa ng APT3 noong 2015. Ito ay naging isa sa mga pinaka-epektibo dahil pinagsamantalahan nito ang isang buffer overflow bug sa Adobe Flash Player, kung saan walang patch noong panahong iyon. Naapektuhan ng kahinaan ng CVE-2015-3113 ang lahat ng kasalukuyang bersyon ng player para sa Windows, OS X at Linux noong panahong iyon. Pinahintulutan nitong maisakatuparan ang arbitrary code nang halos walang pakikipag-ugnayan ng user at pag-bypass sa mga sistema ng seguridad.
Sa mailing list, naakit ang APT3 ng isang alok na bumili ng mga inayos na iMac sa may diskwentong presyo. Ang link sa email ay humantong sa isang web page na naglalaman ng isang flv file at inilunsad ang pagsasamantala. Kapansin-pansin, nalampasan ng pagsasamantala ang built-in na proteksyon ng DEP (Data Execution Prevention), na humarang sa kontrol ng call stack at nagsagawa ng return-oriented programming (ROP) na pag-atake. Tinawag ng pag-atakeng ito ang VirtualAlloc function mula sa Kernel32.dll at gumawa ng mga pointer sa naka-embed na shellcode, at minarkahan ito bilang executable.
Nalampasan din ng pagsasamantala ang pangalawang layer ng proteksyon sa pamamagitan ng pagsasamantala sa mga kilalang flaws sa Address Space Randomization (ASLR) at pag-inject ng executable code sa iba pang mga proseso (pangunahin ang thread ng browser).
Upang itago ang pag-atake ng ROP, ang pagsasamantala sa web page ay na-encrypt (RC4), at ang susi upang i-decrypt ito ay kinuha ng isang script mula sa isang kalapit na larawan. Samakatuwid, ang isang anti-virus scan ng nahawaang web page ay hindi rin nakakita ng anumang kahina-hinala.
Bilang resulta, kailangan lang ng user na mag-click sa link para mai-install ang backdoor sa kanyang computer. Ni ang mga built-in na paraan ng proteksyon sa OS at browser, o mga indibidwal na antivirus ay hindi makakapagprotekta laban sa 0day exploit.
Double Tap Operation
Ang Double Tap phishing campaign ay naganap noong taglagas ng 2014 gamit ang dalawang kamakailang kahinaan:
Ang unang kahinaan ay nagbibigay-daan sa iyo na baguhin ang mga laki ng array na tinukoy ng VBScript engine dahil sa isang error sa SafeArrayRedim function ng OleAut32.dll library. Ang pangalawa ay nauugnay sa driver ng system ng win32k.sys at humahantong sa pagtaas ng mga pribilehiyo sa antas ng kernel ng Windows.
Ang mga pagsasamantala ay inilunsad gamit ang isang elemento ng iframe na naka-embed sa mga pahina ng mga na-hack na website at mga HTML na email. Sa pagkakataong ito, ang pain ay isang alok para sa libreng buwanang subscription sa Playboy club, na nagbibigay ng walang limitasyong access sa mga high-resolution na litrato at Full HD clip. Ang link ay humantong sa pekeng domain na playboysplus.com.
Pagkatapos ng pag-click dito, ang install.exe file, 46 KB ang laki, ay na-download sa computer. Ito ay isang Trojan-dropper na hindi naglalaman ng mga nakakahamak na function at sa oras ng pag-atake ay hindi natukoy ng mga antivirus sa pamamagitan ng signature o heuristic analysis. Lumikha ito ng dalawang file: doc.exe at test.exe sa nakabahaging direktoryo ng user C:\Users\Public\ . Nawawala ang hardcoded path na ito sa ilang computer, na pumipigil sa kanila na mahawa. Sapat na sa halip na gumamit ng variable (halimbawa, %USERPROFILE% o %TEMP%) upang hindi matigil ang ganoong kumplikadong pag-atake sa simula pa lamang dahil sa hindi pagkakaunawaan sa mga ganap na landas.
Sinuportahan ng doc.exe file ang 64-bit na arkitektura at naglalaman ng pagsasamantala para sa kahinaan ng CVE-2014-4113. Ito ay kinakailangan upang subukang ilunsad ang test.exe backdoor na may mga karapatan sa system. Ang pag-verify ng matagumpay na paglunsad ay isinagawa gamit ang whoami console command.
Sa turn, ang test.exe ay naglalaman ng code upang pagsamantalahan ang kahinaan na CVE-2014-6332, na isang pagbabago ng isa pang sikat na pagsasamantalang kasama sa Metasploit.
Kung matagumpay, mag-i-install ang backdoor ng SOCKS5 proxy at magpapadala ng maikling kahilingan (05 01 00) sa unang antas ng C&C server sa 192.157.198.103, TCP port 1913. Kung tumugon ito ng 05 00, ang backdoor ay kumonekta sa pangalawang antas C&C server sa 192.184.229, TCP port 81. Pagkatapos ay nakinig ito sa mga tatlong-byte na utos nito at isinagawa ang mga ito.
Habang umuusad ang pag-atake, nakatanggap ang backdoor ng upgrade, at kalaunan ay sinimulan itong makita ng mga antivirus bilang Backdoor.APT.CookieCutter, aka Pirpi.rundll32. exe "%USERPROFILE%\Application Data\mt.dat" UpdvaMt
Ang Rundll32 ay isang console utility na nagbibigay-daan sa iyong tumawag sa mga tahasang tinukoy na function na na-export mula sa mga dynamic na link library (mga DLL). Ito ay orihinal na nilikha para sa panloob na paggamit sa Microsoft, ngunit pagkatapos ay naging bahagi ng Windows (simula sa 95). Kung ang ibang paraan ay maaari lamang ma-access ang isang library na may tamang extension, hindi pinapansin ng Rundll32 ang mga extension ng file.
mga konklusyon
Sa paghusga sa mga umuusbong na katotohanan, ang malalaking koponan ng mga propesyonal na hacker ay nagtatrabaho para sa gobyerno ng China sa larangan ng cybersecurity. Ang ilan sa kanila ay opisyal na itinuturing na mga yunit ng hukbo - sila ay binibigyan ng access sa mga lihim ng estado at pinoprotektahan sa isang pantay na batayan sa mga tauhan ng signalmen. Ang iba ay nagpapatakbo sa pamamagitan ng mga komersyal na kumpanya at nagsasagawa ng mga pag-atake nang direkta mula sa sentro ng negosyo. Ang iba pa ay mga grupong sibilyan na madalas nagbabago. Tila ipinagkatiwala sa huli ang mga pinakamaruming kaso, pagkatapos ay ibinibigay ang ilan sa mga ahensyang nagpapatupad ng batas upang linisin ang reputasyon ng naghaharing partido. Kung sakaling mabutas, sila ay itinalaga lamang bilang salarin at ang mga susunod ay tinatanggap.
Ang personal na data ng mga politikong Aleman ay lumitaw sa Internet
Tulad ng nalaman noong Enero 4, sa pagtatapos ng 2018, lumitaw sa Twitter ang mga link sa personal na data - kabilang ang pasaporte at credit card - ng 994 na politiko, aktor, mamamahayag, at musikero ng Aleman. Noong Enero 6, isang 20-taong-gulang na mag-aaral sa high school sa Hesse ang inaresto dahil sa hinalang paggawa ng break-in. Ayon sa pulisya, marami siyang oras sa computer, ngunit wala siyang espesyal na edukasyon.
Russian "mga oso"
Sa mga nagdaang taon, naging pangkaraniwan na ang balita tungkol sa mga hacker at cyber attack. Kadalasan, ang may-akda ng mga hack ay iniuugnay sa ilang grupo ng mga hacker - Cozy Bear (literal na "cozy bear", kilala rin bilang APT29), Fancy Bear ("fashionable bear", APT28) at Energetic Bear ("energy bear"), na ay nauugnay sa mga serbisyo ng paniktik ng Russia. Ang ebidensya ay circumstantial, ngunit sa bawat oras na dumarami ito.
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
Mga pag-atake sa US at German power grids
Noong tag-araw ng 2018, nalaman ang tungkol sa mga pag-atake ng grupo ng hacker na Energetic Bear sa mga power grid ng United States at Germany. Ayon sa American intelligence services, sa Estados Unidos, ang mga magnanakaw ay umabot pa sa yugto kung saan maaari nilang i-on at patayin ang kuryente at makagambala sa mga daloy ng enerhiya. Sa Germany, nakapasok ang mga hacker sa mga network ng iilang kumpanya lamang bago kontrolin ng German intelligence services ang sitwasyon.
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
Inakusahan ng US ang mga opisyal ng GRU ng mga cyber attack
Noong Hulyo 13, 2018, inakusahan ng US Department of Justice (nasa larawan ang opisina ng departamento sa Washington) sa 12 Russian citizen na nagtangkang makialam sa 2016 American presidential election. Ayon sa mga imbestigador, ang mga empleyado ng Main Intelligence Directorate (GRU) ng General Staff ng Russian Armed Forces ay lumahok sa pag-hack sa mga computer system ng Democratic Party at campaign headquarters ni Hillary Clinton.
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
Inakusahan ng USA at Great Britain ang Russian Federation ng isang malakihang pag-atake sa cyber
Ang FBI, ang US Department of Homeland Security at ang British National Computer Security Center ay nagsabi noong Abril 16, 2018 na ang mga hacker ng Russia ay umatake sa mga ahensya ng gobyerno at pribadong kumpanya sa pagtatangkang agawin ang intelektwal na ari-arian at makakuha ng access sa mga network ng kanilang mga biktima. Ang Ministro ng Depensa ng Australia na si Marise Payne ay nagpahayag ng mga katulad na akusasyon sa parehong araw.
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
Ang Bad Rabbit ay tumama sa Russia at Ukraine
Ang bagong Bad Rabbit virus ay tumama sa mga server ng ilang Russian media outlet noong Oktubre 24. Bilang karagdagan, inatake ng mga hacker ang ilang ahensya ng gobyerno sa Ukraine, pati na rin ang mga sistema ng metro ng Kyiv, ang Ministri ng Infrastruktura at ang paliparan ng Odessa. Dati, ang mga pag-atake ng Bad Rabbit ay naitala sa Turkey at Germany. Naniniwala ang mga eksperto na ang virus ay kumakalat gamit ang paraang katulad ng ExPetr (aka Petya).
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
Cyber attack ng siglo
Noong Mayo 12, 2017, napag-alaman na sampu-sampung libong mga computer sa 74 na bansa ang napapailalim sa isang cyber attack na hindi pa nagagawa. Ang WannaCry virus ay nag-e-encrypt ng data sa mga computer; Partikular na naapektuhan ang mga institusyong medikal sa UK, ang kumpanya ng Deutsche Bahn sa Germany, mga computer ng Russian Ministry of Internal Affairs, ang Investigative Committee at Russian Railways, pati na rin ang Spain, India at iba pang mga bansa.
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
Petya virus
Noong Hunyo 2017, ang mga pag-atake mula sa makapangyarihang Petya.A virus ay naitala sa buong mundo. Pinaralisa nito ang gawain ng mga server ng gobyerno ng Ukrainian, pambansang post office, at Kyiv metro. Naapektuhan din ng virus ang ilang kumpanya sa Russian Federation. Ang mga computer sa Germany, Great Britain, Denmark, Netherlands, at USA ay nahawahan. Walang impormasyon kung sino ang nasa likod ng pagkalat ng virus.
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
Pag-atake sa Bundestag
Noong Mayo 2015, natuklasan na ang mga hacker ay tumagos sa panloob na network ng computer ng Bundestag gamit ang isang malisyosong programa (Trojan). Natuklasan ng mga eksperto sa IT ang mga bakas ng grupong APT28 sa pag-atakeng ito. Ang pinagmulang Ruso ng mga hacker ay suportado, bukod sa iba pang mga bagay, ng mga setting ng wikang Ruso ng programa ng virus at ang oras ng kanilang mga operasyon, na kasabay ng mga oras ng opisina sa Moscow.
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
Laban kay Hillary
Sa panahon ng karera sa halalan para sa pagkapangulo ng US, dalawang beses na nakakuha ng access ang mga hacker sa mga server ng Democratic Party ng kandidatong si Hillary Clinton. Itinatag ng mga American intelligence services at IT company na ang mga kinatawan ng Cozy Bear ay kumilos noong tag-araw ng 2015, at ang Fancy Bear noong tagsibol ng 2016. Ayon sa mga ahensya ng paniktik ng US, ang mga cyber attack ay pinahintulutan ng matataas na opisyal ng Russia.
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
Inaatake ang partido ni Merkel
Noong Mayo 2016, napag-alaman na ang punong-tanggapan ng Christian Democratic Union (CDU) na partido ng German Chancellor na si Angela Merkel ay sumailalim sa pag-atake ng hacker. Sinasabi ng mga espesyalista sa IT na sinubukan ng mga hacker mula sa Cozy Bear na makakuha ng access sa mga database ng CDU gamit ang phishing (nagpapadala ng mga email na may mga link sa mga site na hindi makilala sa mga tunay), ngunit hindi matagumpay ang mga pagtatangka.
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
Doping hack
Noong Setyembre 2016, iniulat ng World Anti-Doping Agency (WADA) na ang database nito ay na-hack. Ang grupong Fancy Bear ay nag-post ng mga dokumento sa Internet na may listahan ng mga atleta na pinahintulutan ng WADA na gumamit ng mga gamot mula sa ipinagbabawal na listahan (therapeutic exception) na may kaugnayan sa paggamot ng mga sakit. Kabilang sa mga ito ang mga Amerikanong manlalaro ng tennis na sina Serena at Venus Williams at gymnast na si Simone Biles.
I-hack ako nang buo: mga high-profile na pag-atake sa cyber at pagtagas ng data sa mga nakaraang taon
500 milyong Yahoo account
Noong Pebrero 2017, ang US Department of Justice ay nagsampa ng mga kaso laban sa dalawang opisyal ng FSB na sina Dmitry Dokuchaev at Igor Sushchin para sa pagnanakaw ng data mula sa higit sa 500 milyong Yahoo account. Naganap ang cyber attack sa katapusan ng 2014. Ayon sa prosekusyon, kumuha ang mga empleyado ng FSB ng dalawang hacker para dito. Kabilang sa mga biktima ng hack ay ang mga mamamahayag ng Russia, mga opisyal ng gobyerno mula sa Russia at Estados Unidos, at marami pang iba.
Ang mga hacker ng China, na nakikipagtulungan sa katalinuhan ng estado ng Tsina, ay naging mas aktibo nang may panibagong sigla at muli ay naging madalas na paksa ng mga ulat ng American media tungkol sa malalaking pagbabanta. Nag-espiya sila sa militar ng ibang mga bansa at ninakaw ang kanilang mga estratehikong pag-unlad, nag-espiya sa malalaking kumpanya ng negosyo at kinukuha ang mga network ng Internet. Nahuli na sila sa pagnanakaw ng mga pagpapaunlad ng armas ng Amerika at pag-hack sa mga sistema ng satellite ng kalawakan. Paano tinatakot ng mga cybercriminal mula sa China ang malalaking bansa - sa materyal.
Sa nakalipas na taon, ang mga espiya sa Internet mula sa China ay nahuling umaatake sa ilang imprastraktura ng US nang sabay-sabay. Ang mga industriya ng kalawakan at telekomunikasyon, gayundin ang mga network ng kompyuter ng dagat, ay tinamaan. Ang lahat ng ebidensiya ay tumuturo sa katotohanan na ang pag-atake ay ginawa hindi lamang ng mga ordinaryong hacker, ngunit ng mga full-time na opisyal ng intelligence ng militar, na ang pagkakaroon ng gobyerno ng China ay patuloy na itinatanggi.
Bug sa glandula
Noong unang bahagi ng Oktubre 2018, ang mga mapagkukunan ng Bloomberg ay nag-ulat na ang Chinese military intelligence ay naniniktik sa halos 30 American organization sa loob ng ilang taon. Kabilang sa mga biktima ang mga komersyal na higanteng IT na Apple at , malalaking organisasyong pinansyal at mga kontratista ng militar ng gobyerno. Ang mga kagamitan ng mga kumpanya ay may mga microchip na nakapaloob dito na hindi kasama sa pakete. Nakasaad sa materyal na ang mga dayuhang device na kasing laki ng isang butil ng bigas ay maaaring isama sa mga board sa panahon ng kanilang produksyon, na may kakayahang makipagpalitan ng data sa mga panlabas na mapagkukunan at ihanda ang aparato para sa transcoding. Ang mga kumpanya ng teknolohiya mismo ay tinanggihan ang impormasyong ito.
Lumalabas na ang mga kagamitan sa pag-espiya ay naka-embed umano sa mga server ng Supermicro. Ang kumpanya ay ang pangunahing tagapagtustos ng mga board sa merkado. Isang dating opisyal ng paniktik ng US, na gustong manatiling hindi nagpapakilala, tinawag ang kumpanya na "sa mundo ng software." "Ito ay tulad ng isang pag-atake sa buong mundo," pagtatapos niya. Bago ito, iniulat ng hindi kilalang mga mapagkukunan ang tungkol sa mga plano ng PRC na makalusot sa hardware na inilaan para sa mga kumpanyang Amerikano. Kabilang sa mga mapanganib na kasosyo ang mga higanteng Tsino na Huawei at ZTE, na sinasabing malapit na nakikipagtulungan sa militar ng China. Gayunpaman, sa kawalan ng mga nauna, walang mga kaso na maaaring iharap laban sa sinuman. Ang gobyerno ng China ay tumugon sa pagsasabing ito ay isang malakas na tagapagtanggol ng seguridad ng computer.
Napansin ng mga eksperto sa larangan ng cybersecurity na nakatagpo na sila ng katulad na "mga bug" sa hardware mula sa iba pang mga tagagawa. Ang lahat ng kagamitang ito ay ginawa sa China. Ang ganitong mga chip ay maaaring tahimik na masubaybayan ang mga aktibidad ng isang kumpanya sa loob ng maraming taon at hindi nakikita ng mga virtual na sistema ng seguridad. Nang maglaon ay lumabas na ang mga lihim ng korporasyon ay hindi lamang ang interes ng mga hacker: ang mga sensitibong network ng gobyerno ay inaatake din.
Ang paghahayag ay naging kumplikado na sa tense na relasyon sa pagitan ng US at China. Noong Oktubre 10, inaresto ng US Department of Justice ang isang matataas na opisyal ng Chinese Ministry of State Security, si Xu Yanjun. Inakusahan siya ng economic espionage. Ang lalaki ay pinigil sa Belgium noong Abril 1 at pinalabas sa kahilingan ng mga awtoridad ng Amerika. Tinawag ng China na gawa-gawa lamang ang mga akusasyon laban kay Xu.
Dmitry Kosyrev, komentarista sa politika sa MIA Rossiya Segodnya
Ang paghahanap para sa "Russian hackers" sa Amerika ay hindi lamang isinasagawa sa Russophobia: hindi pa rin alam kung sino ang mas kinatatakutan - tayo o ang mga Intsik. Mayroong anumang bilang ng mga kuwento na may mga Chinese hackers na "nagbabanta sa Estados Unidos," ngunit kami sa Russia, para sa malinaw na mga kadahilanan, ay hindi napapansin ito, ngunit binibigyang pansin sila ng PRC.
Halimbawa
Narito ang mahalagang ordinaryong materyal mula sa American magazine Foreign Policy. Natuklasan ng mga tagausig ng US ang tila isang grupo ng mga hacker na naka-link sa estado ng China at kinasuhan ang mga suspek. Sarado na ang kumpanya nilang "Boyuysek".
Tatlong henyo sa computer (ang kanilang mga apelyido ay Wu, Dong at Xia) ang di-umano'y na-hack ang mga sistema ng American division ng Siemens, ang rating agency na Moody's at Trimble, na tumatalakay sa GPS navigation. Kung kanino man ito mangyari - marahil ay na-hack sila, ngunit nagsimulang tumunog ang mga pamilyar na himig. Verbatim: "Ang pinagsama-samang ebidensya at pagsisiyasat ng isang pribadong kompanya ng seguridad ay nagmumungkahi na ang kumpanya ay isang subsidiary ng makapangyarihang Ministri ng Seguridad ng Estado ng China at lumilitaw na gumagana bilang isang front para sa cyber espionage."
Ang isang hindi pinangalanang pribadong kumpanya ay "nagmumungkahi" na ito ay "tila" ay may ganito... Ngunit hindi ka ba makakahanap ng mas tumpak na mga katotohanan? At kung wala, kung gayon bakit magpahiwatig sa kanila? At saka, anong nakakatakot. Isang bagay na tulad ng sa "Russian hackers" na, tulad ng Pokemon, ay nahuli sa halos isang taon sa US Congress, at ito ay ang parehong bagay doon: isang tao ay "nag-prompt" at "tila".
Ang kuwento ay kahit na bahagyang nakakasakit - naisip namin na ang mga Ruso ay may monopolyo sa pag-hack sa Estados Unidos. Pero inaagaw na pala sa atin ng mga Intsik.
Ang "Sinophobia," sa pamamagitan ng paraan, ay nanginginig hindi lamang sa Amerika. Mayroon ding isang malayong lalawigan ng pandaigdigang pulitika - Australia. Ang Beijing na edisyon ng Global Times ay nag-uusap tungkol sa kung paano ang isang kuwento na katulad ng sa Estados Unidos ay nagbubukas na ngayon sa Australia, at sa isang mataas na antas ng pulitika. Iniwan ni Senador Sam Dastyari ang kanyang mga post sa lokal na Kongreso. Sinabi niya (muli, "diumano") sa isang negosyanteng Tsino na nagngangalang Huang Xiangmo na siya ay sinusubaybayan ng mga ahensya ng paniktik ng Australia. Isa pa, walang ebidensya, pero dahil “confirm” nila, isa lang ang choice ng senador: magbitiw. At ang Punong Ministro na si Malcolm Turnbill, na dati ay "nagsasalu-salo sa isang mamumuhunang Tsino", ay partikular na natutuwa sa pagtugon dito, at ang media ay nagtaas ng malakas na sigaw tungkol dito.
Oo, ang pangunahing bagay na hindi ko sinabi: Si Huang Xiangmo ay hindi lamang isang negosyante, ngunit "pinaghihinalaang may koneksyon sa Communist Party of China."
Ito ba ang ibig sabihin - "pinaghihinalaang"? Pinag-uusapan natin ang naghaharing partido sa kanyang bansa, paanong hindi magkakaroon ng anumang kaugnayan dito? Hindi banggitin kung ano ang ibig sabihin ng isang partido sa pangkalahatan, tandaan natin, ito ay binubuo ng halos 90 milyong tao. Ngunit pagkatapos ay bumalik kami sa USA at tandaan na mayroong anumang pagpupulong ng isang Amerikano sa embahador ng Russia o sinumang Ruso sa pangkalahatan ay naging isang kahila-hilakbot na akusasyon.
At maraming ganoong kwento sa USA at mga satellite na bansa.
Sa pangkalahatan, ang bagay ay hindi lamang sa Russia. At ang paunang pagsusuri ng kababalaghan sa kabuuan ay malinaw: paranoya. Ang tanging mga katanungan na natitira ay kung bakit ito lumitaw ngayon at kung ano ang mga tampok nito. Gaya ng nakasanayan, ang pinakakawili-wiling mga bagay ay nasa mga detalye.
Linawin natin ang diagnosis
Ang binanggit na materyal na Tsino tungkol sa mga iskandalo sa Australia ay nagbabanggit ng matagal nang pahayag ng isa sa mga dating Punong Ministro ng Australia, si Tony Abbott. Ibig sabihin, ang patakaran ng Australia sa China ay hinihimok ng dalawang emosyon - takot at kasakiman. Ang kasakiman dahil kung wala ang mga mamumuhunang Tsino at mga kasosyo sa kalakalan ay magmumukhang maputla ang Australia. Ang takot ay para sa parehong dahilan.
Ngunit ito ay pareho sa USA. Narito ang mga katotohanan: Ang mga turistang Tsino, mag-aaral at iba pang mga bisita sa States lamang ang nagbigay sa bansang ito ng humigit-kumulang $30 bilyon noong 2015. Noong 2016, ang kalakalan sa mga kalakal ay umabot sa 510 bilyon, mga serbisyo - 110 bilyon, at ang mga pamumuhunan sa isa't isa ay lumago sa 170 bilyon.
Nangangahulugan ito na mula noong 1979 (noong ang China na alam natin ngayon ay nagsisimula pa lamang) ang kalakalan sa Amerika ay lumago ng 207 beses. Nangangahulugan din ito na ang China ang unang kasosyo sa kalakalan ng Estados Unidos, at ang Estados Unidos ang pangalawa para sa China (ang EU sa kabuuan ay nasa unang lugar).
At narito mayroon kaming isang seryosong kaibahan sa sitwasyon ng Russia-US, kung saan ang mga relasyon sa negosyo ay sampung beses na mas mahina. Samakatuwid, ang isang tao ay maaaring sumigaw nang malakas tungkol sa "mga hacker ng Russia," ngunit sa mga hacker ng Tsino, lahat ay hindi maliwanag - ang kasakiman ay sumalungat sa takot.
Kasabay nito, kapag ang mga mamumuhunang Tsino ay gustong bumili ng isang bagay na mahalaga at estratehiko para sa Estados Unidos, ang takot ay nanalo. At sa ibang mga kaso, tulad ng kamakailang pagbisita ni Pangulong Donald Trump sa Beijing at ang paglagda ng maraming kasunduang pang-ekonomiya doon, ang kasakiman (at ang pagnanais na "muling gawing dakila ang Amerika") ay nanalo.
Pansinin din natin kung ano ang reaksyon ng mga awtoridad ng China at ng media sa mga pinakabagong pag-atake ng American Sinophobia - tulad ng isang malaking aso sa isang masayang-maingay na tumatahol na mongrel. Ang mga Intsik ay matiyagang nagpaliwanag: tumahol hangga't gusto mo, hindi nito binabago ang katotohanan na sa ekonomiya ay mahigpit tayong konektado.
At ito ay hindi banggitin ang katotohanan na ang Tsina (tulad ng Russia) ay hindi naman nagmumungkahi na sirain ang Amerika sa pandaigdigang antas. Tulad ng nabanggit ng isa sa mga may-akda ng London Economist, ang mga ideyang Tsino ng isang "alternatibo sa Kanluran" ay kahanga-hanga, ngunit malabo ang pagkakabalangkas at hindi malinaw kung ano ang ibig sabihin ng mga ito sa pagsasagawa. Ibig sabihin, walang partikular na dapat ikatakot.
...Sa simple at kontra-siyentipikong mga salita - hayaan ang mga eksperto na patawarin ako - ang paranoia ay nangangahulugang ang kawalan ng kakayahan ng isang taong aktibo sa lipunan na tama na masuri ang kanyang lugar sa lipunan: palaging tila sa kanya na ang lahat sa paligid niya ay sumasamba sa kanya, o napopoot at inuusig siya. Ang isang schizophrenic, sa kabaligtaran, ay isang mapangarapin na umalis mula sa lipunan patungo sa kanyang sariling ilusyon na mundo. Ngunit mayroon ding paranoid schizophrenia, na pinagsasama ang parehong mga sukdulan.
Kaya, ang mga hysterics ng Estados Unidos at Kanluran sa mga hacker ng Russia at Chinese (at sa pangkalahatan ay tungkol sa pagbabago ng kanilang lugar sa mundo) ay mukhang paranoid schizophrenia. Sa isang banda, gusto kong mamuhay sa ilusyon ng sarili kong pagiging eksklusibo, at mas mabuti, ang pagbuo ng kalakalan at pamumuhunan sa iba pang mga kapangyarihan. Sa kabilang banda, palaging may mga hinala na ang "iba" na ito ay napopoot sa iyo at nais na sirain ka.
Sa pangkalahatan, kasakiman at takot.
