“EternalBlue” هو اسم ثغرة تم تطويرها من قبل وكالة الأمن القومي التي تم تسريبها لثغرة أمنية في SMBv1 كانت موجودة في جميع أنظمة تشغيل Windows بين Windows 95 و Windows 10. Server Message Block الإصدار 1 ، أو SMBv1 ، هو بروتوكول اتصال يُستخدم لمشاركة الوصول إلى الملفات والطابعات والمنافذ التسلسلية عبر الشبكة.
نصيحة: تم تحديد وكالة الأمن القومي سابقًا على أنها عامل تهديد "مجموعة المعادلة" قبل أن يتم ربط هذا وغيره من عمليات الاستغلال والنشاط بها.
حددت وكالة الأمن القومي الثغرة الأمنية في بروتوكول الشركات الصغيرة والمتوسطة على الأقل في وقت مبكر من عام 2011. في إطار استراتيجيتها الخاصة بتخزين الثغرات الأمنية لاستخدامها الخاص ، اختارت عدم الكشف عنها لمايكروسوفت حتى يمكن تصحيح المشكلة. ثم طورت وكالة الأمن القومي استغلالًا للقضية التي أطلقوا عليها اسم EternalBlue. EternalBlue قادر على منح سيطرة كاملة على جهاز كمبيوتر ضعيف لأنه يمنح تنفيذ كود تعسفي على مستوى المسؤول دون الحاجة إلى تفاعل المستخدم.
وسطاء الظل
في وقت ما ، قبل أغسطس 2016 ، تعرضت وكالة الأمن القومي للاختراق من قبل مجموعة تطلق على نفسها اسم “The Shadow Brokers” ، ويعتقد أنها مجموعة قرصنة روسية ترعاها الدولة. تمكن The Shadow Brokers من الوصول إلى مجموعة كبيرة من البيانات وأدوات القرصنة. حاولوا في البداية بيعها بالمزاد وبيعها مقابل المال لكنهم لم يتلقوا سوى القليل من الفائدة.
نصيحة: "مجموعة القرصنة التي ترعاها الدولة" هي متسلل واحد أو أكثر يعملون إما بموافقة الحكومة ودعمها وتوجيهها الصريحين أو لمجموعات إلكترونية هجومية حكومية رسمية. يشير أي من الخيارين إلى أن المجموعات مؤهلة جيدًا ومستهدفة ومتعمدة في أعمالها.
بعد فهم أن أدواتهم قد تم اختراقها ، أبلغت وكالة الأمن القومي Microsoft بتفاصيل الثغرات الأمنية حتى يمكن تطوير تصحيح. كان من المقرر إطلاقه مبدئيًا في فبراير 2017 ، وتم دفع التصحيح إلى مارس لضمان إصلاح المشكلات بشكل صحيح. في 14ذ في مارس 2017 ، نشرت Microsoft التحديثات ، مع تفصيل ثغرة EternalBlue بواسطة نشرة الأمن رقم MS17-010 ، لنظام التشغيل Windows Vista و 7 و 8.1 و 10 و Server 2008 و Server 2012 و Server 2016.
بعد شهر على 14ذ في أبريل ، نشر The Shadow Brokers الاستغلال ، إلى جانب العشرات من المآثر والتفاصيل الأخرى. لسوء الحظ ، على الرغم من توفر التصحيحات لمدة شهر قبل نشر الثغرات ، لم تقم العديد من الأنظمة بتثبيت التصحيحات وبقيت عرضة للخطر.
استخدام الازرق الخالد
بعد أقل من شهر بقليل من نشر الثغرات ، في 12ذ في مايو 2017 ، تم إطلاق الفيروس المتنقل "Wannacry" باستخدام استغلال EternalBlue لنشر نفسه إلى أكبر عدد ممكن من الأنظمة. في اليوم التالي ، أصدرت Microsoft تصحيحات أمان طارئة لإصدارات Windows غير المدعومة: XP و 8 و Server 2003.
نصيحة: "Ransomware" هي فئة من البرامج الضارة تقوم بتشفير الأجهزة المصابة ثم الاحتفاظ بمفتاح فك التشفير للحصول على فدية ، عادةً لبيتكوين أو غيرها من العملات المشفرة. "الدودة" هي فئة من البرامج الضارة تنتشر تلقائيًا إلى أجهزة الكمبيوتر الأخرى ، بدلاً من مطالبة أجهزة الكمبيوتر بإصابة كل منها على حدة.
وفق آي بي إم إكس فورس كانت دودة برامج الفدية "Wannacry" مسؤولة عن أكثر من 8 مليارات دولار من الأضرار في 150 دولة على الرغم من أن الاستغلال لم يعمل إلا على نظامي التشغيل Windows 7 و Server 2008. في فبراير 2018 ، نجح باحثو الأمن في تعديل الاستغلال ليكونوا قادرين على العمل بشكل موثوق على جميع إصدارات Windows منذ Windows 2000.
في مايو 2019 ، تعرضت مدينة بالتيمور الأمريكية لهجوم إلكتروني باستخدام ثغرة EternalBlue. وأشار عدد من خبراء الأمن السيبراني إلى أن هذا الوضع كان من الممكن منعه تمامًا حيث كانت التصحيحات متاحة لأكثر من سنتان في تلك المرحلة ، وهي الفترة الزمنية التي كان من المفترض أن يتم خلالها ، على الأقل ، المثبتة.