„EternalBlue“ е името за изтекъл експлойт, разработен от NSA за уязвимост в SMBv1, която присъстваше във всички операционни системи Windows между Windows 95 и Windows 10. Server Message Block версия 1, или SMBv1, е комуникационен протокол, който се използва за споделяне на достъп до файлове, принтери и серийни портове през мрежата.
Съвет: NSA по-рано беше идентифицирана като заплаха от „Equation Group“, преди тази и други експлоати и дейности да бъдат свързани с тях.
NSA идентифицира уязвимостта в протокола за SMB поне още през 2011 г. Съгласно стратегията си за натрупване на уязвимости за собствена употреба, избра да не го разкрива на Microsoft, за да може проблемът да бъде коригиран. След това NSA разработи експлойт за проблема, който нарекоха EternalBlue. EternalBlue е в състояние да предостави пълен контрол върху уязвим компютър, тъй като предоставя произволно изпълнение на код на ниво администратор, без да изисква взаимодействие с потребителя.
Брокерите в сянка
В някакъв момент, преди август 2016 г., NSA беше хакната от група, наричаща себе си „The Shadow Brokers“, за която се смята, че е спонсорирана от руската държава хакерска група. Shadow Brokers получиха достъп до голям набор от данни и инструменти за хакване. Първоначално се опитаха да ги продадат на търг и да ги продадат за пари, но получиха малък интерес.
Съвет: „Спонсорирана от държавата хакерска група“ е един или повече хакери, работещи или с изричното съгласие, подкрепа и указание на правителството, или за официални правителствени офанзивни кибергрупи. Всеки вариант показва, че групите са много добре квалифицирани, целенасочени и обмислени в своите действия.
След като разбра, че техните инструменти са компрометирани, NSA информира Microsoft за подробностите за уязвимостите, за да може да бъде разработена корекция. Първоначално планирано за пускане през февруари 2017 г., корекцията беше отложена за март, за да се гарантира, че проблемите са коригирани правилно. На 14ти от март 2017 г., Microsoft публикува актуализациите, като уязвимостта EternalBlue е подробно описана от бюлетин за сигурност MS17-010, за Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 и Server 2016.
Месец по-късно на 14ти от април The Shadow Brokers публикува експлойта, заедно с десетки други експлойти и подробности. За съжаление, въпреки че кръпките бяха налични един месец преди публикуването на експлойтите, много системи не инсталираха пачовете и останаха уязвими.
Използване на EternalBlue
Малко по-малко от месец след публикуването на подвизите, на 12ти от май 2017 г. червеят за откуп „Wannacry“ беше пуснат с помощта на експлойта EternalBlue, за да се разпространи до възможно най-много системи. На следващия ден Microsoft пусна спешни корекции за сигурност за неподдържаните версии на Windows: XP, 8 и Server 2003.
Съвет: „Ransomware“ е клас злонамерен софтуер, който криптира заразени устройства и след това държи ключа за декриптиране за откуп, обикновено за биткойн или други криптовалути. „Червей“ е клас злонамерен софтуер, който автоматично се разпространява към други компютри, вместо да изисква компютрите да бъдат индивидуално заразени.
Според IBM X-Force червеят за откуп „Wannacry“ беше отговорен за щети от над 8 милиарда щатски долара в 150 държави, въпреки че експлойтът работеше надеждно само на Windows 7 и Server 2008. През февруари 2018 г. изследователите по сигурността успешно модифицираха експлойта, за да могат да работят надеждно на всички версии на Windows след Windows 2000.
През май 2019 г. американският град Балтимор беше засегнат от кибератака, използваща експлоата EternalBlue. Редица експерти по киберсигурност посочиха, че тази ситуация е напълно предотвратима, тъй като пачове са били налични повече от две години към този момент, период от време, през който е трябвало да бъдат изготвени най-малко „критични корекции за сигурност“ с „публични експлойти“. инсталирани.