"EternalBlue" on nimi lekkinud NSA-le, mille on välja töötanud SMBv1 haavatavus, mis esines kõigis Windowsi operatsioonisüsteemides operatsioonisüsteemide Windows 95 ja Windows 10 vahel. Serveri sõnumiploki versioon 1 ehk SMBv1 on sideprotokoll, mida kasutatakse võrgu kaudu failidele, printeritele ja jadaportidele juurdepääsu jagamiseks.
Näpunäide: NSA-d määratleti varem kui "võrrandirühma" ohus osalejat, enne kui see ja muud ärakasutamise ja tegevused nendega seostati.
NSA tuvastas SMB-protokolli haavatavuse vähemalt 2011. aastal. Oma tarbeks turvaaukude kogumise strateegia kohaselt otsustas ta seda Microsoftile mitte avaldada, et probleem saaks paigatud. Seejärel töötas NSA välja probleemi jaoks ärakasutamise, mida nad nimetasid EternalBlue'iks. EternalBlue on võimeline tagama haavatava arvuti üle täieliku kontrolli, kuna see võimaldab administraatori tasemel suvalise koodi käivitamist ilma kasutaja sekkumist nõudmata.
Varjude maaklerid
Mingil hetkel, enne 2016. aasta augustit, häkkis NSA-sse rühmitus, kes nimetas end "The Shadow Brokers", mis arvatakse olevat Venemaa riiklikult toetatud häkkimisrühmitus. Shadow Brokers said juurdepääsu suurele hulgale andmetele ja häkkimistööriistadele. Algselt proovisid nad neid oksjonil müüa ja raha eest müüa, kuid said vähe huvi.
Näpunäide. „Riigi sponsoreeritud häkkimisrühm” on üks või mitu häkkerit, kes tegutsevad kas valitsuse selgesõnalisel nõusolekul, toel ja juhtimisel või ametlike valitsuse ründavate kübergruppide heaks. Kumbki variant näitab, et rühmad on oma tegevuses väga hästi kvalifitseeritud, sihipärased ja teadlikud.
Pärast aru saamist, et nende tööriistad on ohustatud, teavitas NSA Microsofti haavatavuste üksikasjadest, et saaks välja töötada paiga. Algselt kavandatud plaaster avaldati 2017. aasta veebruaris, kuid see lükati märtsisse, et tagada probleemide õige lahendamine. 14. päevalth märtsil 2017 avaldas Microsoft värskendused, kusjuures EternalBlue'i haavatavust kirjeldas üksikasjalikult turvabülletään MS17-010, Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 ja Server 2016 jaoks.
Kuu aega hiljem, 14th aprillil avaldas The Shadow Brokers selle ärakasutamise koos kümnete muude rünnakute ja üksikasjadega. Kahjuks, hoolimata sellest, et paigad olid saadaval kuu aega enne rünnakute avaldamist, ei installinud paljud süsteemid plaastreid ja jäid haavatavaks.
EternalBlue'i kasutamine
Veidi vähem kui kuu pärast rünnakute avaldamist, 12th 2017. aasta mais lasti välja lunavarauss "Wannacry", kasutades EternalBlue'i ärakasutamist, et levitada ennast võimalikult paljudesse süsteemidesse. Järgmisel päeval avaldas Microsoft erakorralised turvapaigad toetamata Windowsi versioonide jaoks: XP, 8 ja Server 2003.
Näpunäide. Lunavara on pahavara klass, mis krüpteerib nakatunud seadmed ja hoiab seejärel lunaraha dekrüpteerimisvõtit, tavaliselt Bitcoini või muude krüptovaluutade puhul. "Uss" on pahavara klass, mis levib automaatselt teistesse arvutitesse, mitte ei nõua arvutite individuaalset nakatumist.
Vastavalt IBM X-Force "Wannacry" lunavarauss vastutas enam kui 8 miljardi USA dollari suuruse kahju eest 150 riigis, kuigi see ärakasutamine toimis usaldusväärselt ainult Windows 7 ja Server 2008 puhul. 2018. aasta veebruaris muutsid turbeteadlased seda ärakasutamist edukalt, et see töötaks usaldusväärselt kõigis Windowsi versioonides alates Windows 2000-st.
2019. aasta mais tabas USA Baltimore'i linna küberrünnak, kasutades ära EternalBlue'i ärakasutamist. Mitmed küberjulgeolekueksperdid juhtisid tähelepanu sellele, et see olukord oli täielikult välditav, kuna plaastreid oli saadaval rohkem kui kaks aastat sel hetkel, ajavahemik, mille jooksul oleks pidanud olema vähemalt "kriitilised turvapaigad" koos "avalike ärakasutamistega" paigaldatud.