Dunia cyber sepertinya berada dalam kegelapan selamanya.
Setiap orang yang masuk meraba-raba ke depan dengan alat penerangan, tapi sayangnya, hanya sumber cahaya sempit yang bisa diterangi.
Dan hantu-hantu yang bersembunyi di geng-geng kriminal peretas gelap, selalu membuat orang sulit untuk dilawan.
Baru-baru ini, sebuah grup peretas yang aktif di Internet untuk mencari keuntungan dan memiliki kemampuan teknis super dan telah meluncurkan beberapa serangan berskala besar telah ditemukan dan menamakannya "Tersembunyi". Yang lebih mengejutkan lagi adalah bahwa grup ini mungkin Disusun atau diikuti oleh orang Tionghoa.
"Tersembunyi" pertama kali muncul pada tahun 2014. Sejak itu, mereka terlibat dalam industri hitam yang menyerang server atau host pribadi. Mereka mengontrol perangkat ini (broiler) dengan menanamkan program pintu belakang, dan kemudian melakukan serangan DDoS, dan juga menyewakan broiler ini ke produk hitam lainnya. Gang.
Akhir-akhir ini, "orang tersembunyi" kebanyakan menggunakan "ayam pedaging" ini untuk "menambang" -memproduksi Bitcoin. Untuk menempati peralatan pengguna untuk keuntungan jangka panjang, "orang yang tersembunyi" akan "black eat black" untuk merebut "broiler" dari grup peretas lain, menghapus akun pintu belakang peretas lain, mengakhiri proses pintu belakang mereka, dan menutup port serangan yang dapat dieksploitasi, dll. .
Sebagai geng perampok, sangat penting untuk menyimpan pedang tajam di tangannya. Pada tanggal 29 April, "Hidden" menambahkan kerentanan "Eternal Blue" yang baru saja bocor selama lebih dari sepuluh hari ke dalam kotak alat peretasnya, yang dua minggu sebelum wabah pertama virus ganas WannaCry pada 12 Mei.
Jadi bagaimana kelompok peretas jahat ini digali sedikit demi sedikit? Zerke Channel mengumpulkan petunjuk data yang relevan.
1. Petunjuk data
Dalam sistem analisis ancaman terminal Tinder, kami menemukan semua nama domain server CC berbahaya yang terkait dengan serangan tersebut. Dengan menelusuri server CC yang aktif dalam enam bulan terakhir, kami telah membuat daftar 10 alamat server CC dengan jumlah data terbesar, seperti yang ditunjukkan pada gambar berikut:
Ringkasan nama domain
Mengambil waktu sebagai porosnya, kita secara intuitif dapat melihat tren wabah serangan yang mengandalkan nama domain server CC yang berbeda, seperti yang ditunjukkan pada gambar berikut:
Tren wabah nama domain memicu poin pertahanan
Seperti yang terlihat dari gambar di atas, keempat domain f4321y.com, mykings.pw, mys2016.info, dan mykings.top telah menunjukkan situasi ancaman serangan yang menurun dan terus menerus dalam hal waktu serangan dan jumlah wabah, serta jumlah wabah yang tinggi. Kontinuitas yang kuat. Umumnya, jumlah host yang disusupi oleh peretas akan terus meningkat dengan cepat, dan peretas akan terus-menerus mengubah alamat server CC untuk meningkatkan penyembunyiannya. Oleh karena itu, perkiraan awal kami adalah bahwa empat nama domain server CC yang disebutkan di atas mungkin termasuk dalam grup peretas yang sama.
Berdasarkan kurva naik merah pada gambar di atas, terlihat bahwa trend pertumbuhan jumlah host yang dikendalikan oleh serangan awal kelompok hacker relatif datar. Setelah organisasi "Shadow Brokers" membocorkan kerentanan "Eternal Blue" pada tanggal 14 April, grup peretas mungkin telah menambahkan kerentanan "Eternal Blue" ke kotak alat penetrasi. Setelah itu, dengan mengandalkan host yang sebelumnya disusupi, jumlah serangan yang menggunakan nama domain mykings.top dengan cepat melonjak ke tingkat tinggi dalam waktu singkat.
Tapi kemudian, virus WannaCry menyebar dalam skala besar di seluruh dunia (yaitu, titik waktu yang ditunjukkan oleh garis putus-putus abu-abu pada gambar di atas). Host yang dikendalikan oleh grup peretas sangat terpengaruh oleh virus. Setelah sebagian besar server yang diracuni memilih untuk mengatur ulang sistem mereka, jumlah host yang dikendalikan oleh mereka berkurang secara signifikan. Oleh karena itu, dalam tren wabah, insiden pertahanan yang terkait dengan grup peretas telah anjlok dalam waktu singkat setelah virus WannaCry, yang juga menggunakan kerentanan "biru abadi" untuk menyebar, bahkan jika grup peretas sedang dalam periode tindak lanjut. Fungsi pertahanan terkait ditambahkan ke serangan itu, tetapi tetap tidak membantu. Akhirnya, jumlah peristiwa serangan yang distabilkan di bawah sebelum kerentanan "Biru Abadi" pecah (yaitu, di bawah posisi yang ditunjukkan oleh garis putus-putus coklat pada gambar di atas), menunjukkan bahwa selain dampak langsung penggunaan kerentanan untuk menyerang tuan rumah, beberapa tuan rumah yang ditangkap oleh kelompok pada tahap awal juga Secara langsung terpengaruh.
Setelah demonstrasi mendetail di bawah, selain empat nama domain di atas, dua nama domain oo000oo.club dan 5b6b7b.ru juga termasuk dalam grup peretas ini. Waktu ketika dua nama domain pertama kali memicu titik intersepsi pertahanan yang relevan sangat mirip, dan titik waktunya adalah setelah penurunan tajam dalam jumlah insiden intersepsi pertahanan yang terkait dengan nama domain server CC. Jadi kami berspekulasi bahwa setelah grup peretas terpukul keras oleh virus WannaCry, untuk memulihkan "kerugiannya" secepat mungkin, ia mulai menggunakan beberapa nama domain dan server pada saat yang sama untuk melakukan serangan infiltrasi secara paralel.
Karena grup peretas telah bersembunyi di Internet untuk waktu yang lama, dan ancaman yang ditimbulkan oleh serangannya di Internet secara bertahap meningkat dari waktu ke waktu, kami menamai grup peretas "Tersembunyi".
Dalam enam bulan terakhir, ada banyak laporan vendor keamanan lain yang muncul di jejak "orang yang disembunyikan". Lab Kaspersky merilis laporan "New (ish) Mirai Spreader Poses New Risks" pada Februari 2017, yang menyebutkan nama domain f4321y.com dan mykings.pw yang disebutkan di atas.
Menanggapi insiden virus Mirai, informasi peristiwa pertahanan terminal yang dicegat oleh Tinder ditunjukkan pada gambar berikut:
Informasi nama domain dari server CC yang digunakan dalam serangan itu
Cyphort Labs merilis laporan "EternalBlue Exploit Active Used to Deliver Remote Access Trojans" pada Mei 2017, yang menyebutkan nama domain server CC mykings.top. Laporan tersebut menunjukkan bahwa peretas menggunakan kerentanan "Eternal Blue" untuk menyerang.
Informasi pertahanan terminal relevan yang dicegat oleh Tinder dalam insiden virus ditunjukkan pada gambar berikut:
Informasi nama domain dari server CC yang digunakan dalam serangan itu
Tiga domain lainnya (js.mys2016.info, js.oo000oo.club, js.5b6b7b.ru) termasuk dalam grup peretasan ini, tetapi tidak ada vendor keamanan yang melakukan analisis yang relevan pada domain tersebut, dan domain tersebut mungkin akan terungkap di masa mendatang Ancaman keamanan baru. Informasi pertahanan terminal Tinder, seperti yang ditunjukkan pada gambar di bawah ini:
Informasi nama domain dari server CC yang digunakan dalam serangan itu
2. Homologi dan analisis sampel
Penamaan keenam nama domain tersebut beserta subdomainnya yang disebutkan di atas memiliki kemiripan yang sangat tinggi. Nama domain tingkat atas diberi nama dengan cara yang mirip, dan ketiga nama domain tersebut diawali dengan "saya". Seperti yang ditunjukkan di bawah ini:
Daftar domain utama
Nama domain tingkat kedua diberi nama sesuai dengan fungsi CC, termasuk tiga nama domain: "js.", "Down." Dan "wmi.". Seperti yang ditunjukkan di bawah ini:
Daftar subdomain
Menurut data intersepsi defensif yang disediakan oleh Tinder Terminal Threat Intelligence System, kami selanjutnya dapat menyimpulkan bahwa serangan yang disebutkan di atas terkait dengan nama domain memiliki homologi yang sangat kuat. Seperti yang ditunjukkan di bawah ini:
Homologi perilaku virus terkait domain
Seperti yang ditunjukkan pada gambar di atas, metode serangan yang terkait dengan beberapa nama domain server CC memiliki tiga kesamaan berikut:
1. Enam domain di atas semuanya memiliki perilaku virus yang sama, skrip jarak jauh berjalan dan skrip baris perintah untuk memulai FTP.
2. Dalam skrip baris perintah untuk memulai parameter baris perintah FTP, dalam urutan waktu, tiga grup pertama nama pengguna FTP sama dengan "mssql2", tiga grup terakhir sama dengan "tes", dan semua kata sandi yang digunakan oleh FTP semuanya 1433.
3. Parameter baris perintah dari panggilan skrip eksekusi jarak jauh, kecuali untuk perubahan nama domain (bagian merah ikon di bawah), parameter lain dan posisi parameter sama persis. Seperti yang ditunjukkan di bawah ini:
Jalankan parameter skrip dari jarak jauh
Juleifeng.com memahami bahwa setelah pengguna akhir Tinder diserang oleh peretas, terminal pengguna mendeteksi sampel serangan yang dikomunikasikan dengan server CC. Melalui analisis, sampel ini juga menunjukkan homologi yang kuat dalam detail seperti string kesalahan, mekanisme propagasi, bahasa pemrograman, dan kompiler.
Diantaranya, sampel terkait domain f4321y.com, mykings.pw, dan mys2016.info adalah sampel homolog, dan informasi string dalam sampel memiliki kesamaan yang tinggi. Seperti yang ditunjukkan di bawah ini:
Perbandingan sampel data string yang terkait dengan nama domain f4321y.com, mykings.pw, dan mys2016.info
Versi awal serangan menggunakan beberapa modul serangan. Data terkait serangan ditunjukkan pada gambar di bawah ini:
Data virus
Daftar lengkap modul serangan ditunjukkan di bawah ini:
Modul serangan virus
Menurut port terbuka dari host pemindaian, virus akan menggunakan metode serangan yang ditunjukkan pada gambar di atas untuk menyerang. Seperti yang ditunjukkan di bawah ini:
Luncurkan serangan di berbagai port
Data relevan yang digunakan dalam serangan virus berasal dari server CC (dalam sampel yang kami analisis, alamat unduhannya adalah: dan datanya dienkripsi. Setelah mengunduh, virus akan membandingkan nilai md5 dari file wpd.dat dengan nilai md5 yang disimpan di wpdmd5.txt di server CC, dan mendekripsi jika sama. Seperti yang ditunjukkan di bawah ini:
Alur pemrosesan data serangan virus
Data yang didekripsi adalah bagian dari xml, yang mencakup serangan IP, port, dan kamus yang digunakan oleh berbagai serangan. Seperti yang ditunjukkan di bawah ini:
Menangani IP serangan
Port digunakan untuk menangani serangan yang berbeda
Memproses kamus
Meskipun serangan yang disebutkan di atas memiliki kompleksitas tinggi, metode serangannya juga tunduk pada banyak batasan. Setelah serangan "Eternal Blue" dibocorkan oleh "Shadow Brokers" pada tanggal 14 April 2017, "Hidden" menulis modul serangan "Eternal Blue" baru, yang langsung digunakan terkait dengan nama domain mykings.top dan oo000oo.club. Dalam serangan penetrasi, kemunculannya lebih awal dari virus WannaCry (12 Mei 2017) yang juga menggunakan kerentanan "Eternal Blue" untuk menyebar.
Melalui perbandingan data sampel string, kita dapat melihat bahwa sampel terkait domain mykings.top dan oo000oo.club juga memiliki homologi yang sangat tinggi, dan hanya bagian yang terkait dengan domain dari data yang dikutip yang berbeda. Seperti yang ditunjukkan di bawah ini:
Perbandingan sampel data string yang terkait dengan nama domain mykings.top dan oo000oo.club
Konten URL yang kami gunakan pada saat yang sama persis sama kecuali untuk nama domainnya. Seperti yang ditunjukkan di bawah ini:
Konten yang ditampilkan pada halaman web di bawah domain mykings.top dan oo000oo.club pada saat yang bersamaan
Selain itu, pada saat yang sama, skrip close2.bat yang digunakan dalam serangan yang terkait dengan kedua nama domain tersebut juga sama persis, dan nama domain yang terdapat dalam skrip tersebut juga identik (sama dengan ftp.oo000oo.me). Oleh karena itu, kami dapat langsung menyimpulkan bahwa serangan yang terkait dengan dua nama domain tersebut adalah milik "orang yang tersembunyi". Seperti yang ditunjukkan di bawah ini:
Skrip yang digunakan dalam serangan yang terkait dengan nama domain mykings.top dan oo000oo.club
Melalui penyaringan insiden pertahanan serupa, kami menemukan data terminal yang terkait dengan nama domain mykings.top tersebut di atas. Seperti yang ditunjukkan di bawah ini:
Data pertahanan terminal diurutkan berdasarkan waktu
Menurut informasi peristiwa pertahanan, kami menemukan bahwa proses induk dalam informasi pertahanan paling awal adalah proses sistem lsass.exe, yang sepenuhnya konsisten dengan karakteristik kerentanan "biru abadi" yang dipicu. Setelah menggunakan kerentanan "Eternal Blue", serangan "Hidden" dapat secara langsung melewati batasan nama pengguna dan kata sandi, sangat meningkatkan tingkat keberhasilan serangan. Pada saat yang sama, "tersembunyi" juga sangat mengurangi kode virusnya. Setelah kerentanan "Eternal Blue" dipicu, di pustaka dinamis Payload yang dimasukkan ke dalam proses lsass.exe, kami menemukan bahwa logika utamanya pertama-tama akan menjalankan bagian konfigurasi eksekusi, yang menyertakan file yang perlu diunduh dan skrip batch yang perlu dijalankan. Pemrosesan batch ditunjukkan pada gambar berikut:
Konfigurasi eksekusi dari muatan kerentanan
Seperti yang ditunjukkan pada gambar di atas, setelah kode virus dijalankan, ia akan mengunduh dua file setelah label "", item.dat dan c.bat. item.dat adalah virus backdoor, c.bat akan menutup port 135, 137, 138, 139, dan 445 (pada awalnya "tersembunyi" tidak akan menutup port, bagian ini adalah fitur baru yang ditambahkan kemudian). Seperti yang ditunjukkan di bawah ini:
Isi skrip c.bat yang digunakan untuk menutup port
Yang disimpan di belakang label "" adalah skrip batch yang perlu dijalankan oleh virus. Skrip pertama-tama akan membuat akun pintu belakang, kemudian menghapus akun pintu belakang yang ditinggalkan oleh peretas lain dan mengakhiri proses virus yang terkait dengan gangguan lain, termasuk penggunaan "Eternal Proses penambangan kerentanan "biru" ke insiden virus Monero. Seperti yang ditunjukkan di bawah ini:
Daftar proses diakhiri di bagian skrip
Setelah itu, pustaka dinamis Payload akan mendaftarkan skrip WMI untuk menjalankan program pintu belakang bernama item.dat yang diperoleh dari server jarak jauh, dan menjalankan skrip JScript yang disimpan di server CC jarak jauh. Skrip WMI untuk registrasi virus ditunjukkan pada gambar di bawah ini:
Skrip WMI didaftarkan oleh Vulnerability Payload
Kill.html menyimpan daftar proses yang perlu dihentikan, dan daftar tersebut terus diperbarui selama serangan. Seperti yang ditunjukkan di bawah ini:
Daftar proses disimpan di kill.html (waktu akuisisi konten lebih awal)
Tersimpan di test.html adalah alamat unduhan dari file yang dapat dieksekusi. File-file ini akan diunduh secara lokal oleh skrip WMI untuk dieksekusi, dan konten halaman web dapat diperbarui secara real time sesuai dengan kebutuhan penyerang. Seperti yang ditunjukkan di bawah ini:
Daftar file yang dapat dijalankan yang disimpan di test.html
3. Ketertelusuran dari "Tersembunyi"
Setelah menyortir karakteristik string sampel yang terkait dengan serangan "orang tersembunyi", kami menemukan bahwa informasi debugging China muncul di semua sampel yang terkait dengan "orang tersembunyi". Seperti yang ditunjukkan di bawah ini:
Informasi string karakter dengan karakteristik regional di nama domain f4321.com, mykings.pw dan mys2016.info
Informasi string karakter dengan karakteristik geografis dalam nama domain mykings.top dan oo000oo.club
Berdasarkan informasi di atas, kami berspekulasi bahwa kelompok "tersembunyi" mungkin dibentuk atau diikutsertakan oleh orang Cina.
Setelah menyaring sampel dengan homologi yang sama dengan serangan di atas, kami menemukan sampel terkait sebelumnya, yang waktu kompilasinya adalah Juli 2014. Seperti yang ditunjukkan di bawah ini:
Informasi dokumen awal
Contoh data ditunjukkan pada gambar di bawah ini:
Sampel
Seperti yang ditunjukkan pada gambar di atas, kami menemukan nama domain server CC yang relevan dalam data sampel. Nama domain serupa dengan nama domain yang disebutkan di atas, dan data modul terkait serangan juga sama. Melalui kueri nama domain, kami telah memperoleh lebih banyak informasi nama domain server CC. Seperti yang ditunjukkan di bawah ini:
informasi domain buysking.com
Kami dapat menyimpulkan dari informasi nama domain server CC bahwa serangan yang relevan mungkin terjadi paling cepat April 2015. Namun, baru pada 2017 serangan terkait "pria tersembunyi" tersebut dilaporkan oleh vendor keamanan lainnya.
Empat, metode serangan yang terus diperbarui
Sejak 2017, sering terjadi ancaman di bidang keamanan informasi, dan "orang tersembunyi" terus-menerus menggunakan informasi keamanan ini untuk meningkatkan serangan mereka. Proporsi metode serangan berbeda yang digunakan oleh "tersembunyi" telah berkembang seiring waktu. Dari gambar di bawah ini:
Persentase perilaku berbahaya yang terkait dengan nama domain berbeda
Dalam urutan kronologis, kita dapat melihat bahwa sementara "tersembunyi" terus-menerus mengubah nama domain, itu juga terus meningkatkan metode serangannya, dan pembaruan metode serangannya akan mengikuti insiden keamanan Internet. Misalnya: Pada awalnya, "Tersembunyi" akan mengabaikan daftar putih AppLocker dengan "skrip jarak jauh berjalan". Setelah terungkap pada awal 2017 bahwa "eksekusi jarak jauh paket penginstalan MSI" dapat mengabaikan daftar putih AppLocker, perilaku "jalankan paket penginstalan MSI jarak jauh" yang dicegat oleh terminal mulai meningkat secara signifikan (bagian keempat dari gambar di atas). Jelas setelah berita tersiar di awal tahun, "tersembunyi" juga menambahkan metode baru untuk melewati daftar putih AppLocker ke alat penetrasinya sendiri.
Meskipun serangan yang digunakan oleh "pria tersembunyi" dari awal hingga akhir sangat prosedural, pada tahap ini, karena ia hanya dapat melakukan berbagai jenis serangan dengan brute force cracking nama pengguna dan sandi, efisiensi serangannya tidak terlalu tinggi. Seperti yang ditunjukkan di bawah ini:
Gunakan kekerasan untuk menyerang proses tersebut
Ju Leifeng mengetahui bahwa setelah organisasi "Pialang Bayangan" memecahkan kerentanan "Biru Abadi" pada April 2017, "Tersembunyi" segera menambahkan kerentanan tersebut ke alat penetrasinya sendiri. Pustaka dinamis yang menggunakan kerentanan untuk menjalankan akan mendaftarkan skrip WMI, dan akhirnya skrip WMI akan memulai program pintu belakang, dengan demikian secara langsung mendapatkan kendali atas host. Mode serangan ini tidak hanya menghilangkan proses cracking traversal brute force yang memakan waktu, tetapi juga sangat meningkatkan tingkat keberhasilan serangan, yang sangat meningkatkan jumlah host yang dikendalikan oleh "tersembunyi" dalam waktu singkat. Proses penyerangan ditunjukkan pada gambar berikut:
Proses serangan kerentanan
Kelima, bersaing untuk mendapatkan kendali tuan rumah
Selain "tersembunyi" yang disebutkan di atas, ada juga beberapa kelompok peretas kecil yang menggunakan metode serupa untuk saling menyerang di Internet untuk mengambil kendali atas host dengan kerentanan keamanan. Setelah peretas menyusupi host, mereka akan membuat akun pintu belakang di dalam host Pertentangan yang paling jelas terutama pada akun pintu belakang ini. Seperti yang ditunjukkan pada gambar di bawah (bagian atas menunjukkan tren perilaku jahat yang terkait dengan serangan "tersembunyi" yang dicegat oleh Tinder, dan bagian bawah menunjukkan tren pertumbuhan operasi akun pintu belakang lainnya oleh "tersembunyi" yang dicegat oleh Tinder):
Tren operasi "Tersembunyi" dari akun pintu belakang lainnya
Berdasarkan data yang ditunjukkan pada gambar di atas, kita dapat melihat bahwa untuk bersaing mendapatkan hak kontrol host yang terbatas ini, persaingan antara kelompok peretas sangat ketat. "Tersembunyi" mengumpulkan beberapa nama akun pintu belakang umum melalui host yang terus menyerang, dan kemudian menggunakan pemrosesan batch untuk langsung menghapus nama akun pintu belakang umum ini.
Selain memperebutkan kendali atas host dengan menghapus akun, "tersembunyi" juga akan mengakhiri proses virus terkait serangan kelompok hacker lain. Selama serangan, daftar proses akhir yang digunakan oleh "tersembunyi" akan terus diperbarui karena data virus lain yang dikumpulkan olehnya meningkat. Seperti yang ditunjukkan di bawah ini:
Daftar proses yang disimpan di kill.html (terbaru)
Dibandingkan dengan halaman kill.html sebelumnya yang ditampilkan di artikel sebelumnya, daftar telah diperbarui secara signifikan, dan jumlah proses akhir virus telah meningkat secara signifikan. Melalui pemantauan waktu nyata dan data pertahanan di Tinder Terminal Threat Intelligence System, kami telah membuat daftar jalur proses yang lebih representatif bersama-sama. Seperti yang ditunjukkan di bawah ini:
Jalur proses yang lebih representatif di daftar proses akhir
Setelah menyortir data, kami menemukan grup peretas tak dikenal yang belum disebutkan oleh vendor keamanan lain (lihat bagian merah ikon di atas untuk informasi terkait). Grup peretas akan menggunakan kerentanan "Biru Abadi" untuk menyerang host dan menambang koin Monero. Informasi terkait perilaku berbahaya, seperti yang ditunjukkan pada gambar berikut:
Grup peretas tak dikenal mengeksploitasi kerentanan "Eternal Blue" untuk menambang Monero
Kami mengumpulkan data pertahanan yang disebutkan di atas dan menyusun tren serangan kelompok hacker yang tidak dikenal, dan membandingkannya dengan tren serangan yang "tersembunyi" dan tren jumlah proses virus yang "tersembunyi" berakhir pada geng hacker yang tidak dikenal. Seperti yang ditunjukkan di bawah ini:
Perbandingan "Tersembunyi" dan memanfaatkan celah untuk menambang serangan Monero dan peristiwa proses akhir
Dari gambar di atas, kita dapat melihat bahwa insiden terkait virus dalam mengeksploitasi celah untuk menambang Monero lebih awal dari titik waktu ketika "Tersembunyi" menambahkan "Biru Abadi" ke alat penembusnya, dan karena "Tersembunyi" mungkin ada sebelumnya. Data yang terkait dengan virus penambangan Monero telah diperoleh selama serangan, sehingga proses penambangan virus ditambahkan ke daftar penghentian proses segera setelah "tersembunyi" menggunakan kerentanan untuk menyerang. Tindakan untuk mengakhiri proses terkait pada dasarnya mempertahankan peningkatan berkelanjutan selama wabah virus penambangan Monero. Setelah wabah virus, jumlah tindakan terkait yang dimulai juga turun secara signifikan.
Sejak awal tahun, organisasi peretas lain (seperti organisasi peretas tak dikenal yang disebutkan di atas) juga melakukan serangan dunia maya dengan berbagai tingkat, tetapi dibandingkan dengan "tersembunyi", serangan ini telah meluncurkan jumlah yang lebih kecil dan tidak berkelanjutan. Hal ini dapat diperkirakan bahwa "tersembunyi" tidak akan berhenti di situ, dan dapat membawa lebih banyak ancaman keamanan di masa mendatang. Leifeng.com juga akan terus melacak "yang tersembunyi".
- Laporan uji jalan mengemudi otonom domestik pertama dirilis: 8 perusahaan berlari 150.000 kilometer, Baidu menyumbang 90%
- Sudah dua tahun garasi perumahan menjadi tempat pembuangan sampah Siapa yang seharusnya bertanggung jawab atas pengembang dan pengelolaan properti?
- Daftar lengkap Selamat kepada Tumen dan Hui Yinghong karena telah memenangkan Kaisar Kuda Emas, "Blood Guanyin" menjadi pemenang terbesar