"EternalBlue" on nimi vuotaneelle NSA: n kehittämälle SMBv1:n haavoittuvuuden hyväksikäytölle, joka oli kaikissa Windows-käyttöjärjestelmissä Windows 95:n ja Windows 10:n välillä. Server Message Block -versio 1 tai SMBv1 on tiedonsiirtoprotokolla, jota käytetään tiedostojen, tulostimien ja sarjaporttien jakamiseen verkon kautta.
Vinkki: NSA tunnistettiin aiemmin "yhtälöryhmän" uhkatoimijaksi ennen kuin tämä ja muut hyväksikäytöt ja toiminta sidottiin niihin.
NSA tunnisti SMB-protokollan haavoittuvuuden ainakin jo vuonna 2011. Haavoittuvuuksien varastoimista omaan käyttöönsä koskevan strategiansa mukaisesti päätti olla paljastamatta sitä Microsoftille, jotta ongelma voitaisiin korjata. Sitten NSA kehitti ongelmaan hyväksikäytön, jota he kutsuivat EternalBlueksi. EternalBlue pystyy antamaan täydellisen hallinnan haavoittuvassa tietokoneessa, koska se sallii järjestelmänvalvojatason mielivaltaisen koodin suorittamisen ilman käyttäjän toimia.
The Shadow Brokers
Jossain vaiheessa, ennen elokuuta 2016, NSA hakkeroi ryhmä, joka kutsui itseään nimellä "The Shadow Brokers", jonka uskotaan olevan Venäjän valtion tukema hakkerointiryhmä. Shadow Brokers pääsi käsiksi suureen joukkoon tietoja ja hakkerointityökaluja. Aluksi he yrittivät huutokaupata ne ja myydä ne rahalla, mutta he saivat vain vähän kiinnostusta.
Vinkki: "Valtion tukema hakkerointiryhmä" tarkoittaa yhtä tai useampaa hakkeria, joka toimii joko hallituksen nimenomaisella suostumuksella, tuella ja ohjauksella tai virallisia valtion hyökkääviä kyberryhmiä varten. Kumpikin vaihtoehto osoittaa, että ryhmät ovat erittäin päteviä, kohdennettuja ja harkittuja toimissaan.
Ymmärtettyään, että heidän työkalunsa olivat vaarantuneet, NSA ilmoitti Microsoftille haavoittuvuuksien yksityiskohdat, jotta korjaustiedosto voitaisiin kehittää. Alun perin helmikuussa 2017 julkaistava korjaustiedosto siirrettiin maaliskuulle varmistaakseen, että ongelmat korjattiin oikein. Päivänä 14th maaliskuussa 2017 Microsoft julkaisi päivitykset, joissa EternalBlue-haavoittuvuus on selvitetty tietoturvatiedote MS17-010, Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 ja Server 2016.
Kuukautta myöhemmin 14th huhtikuuta The Shadow Brokers julkaisi hyväksikäytön sekä kymmeniä muita hyökkäyksiä ja yksityiskohtia. Valitettavasti vaikka korjaustiedostot olivat saatavilla kuukauden ennen hyväksikäyttöjen julkaisua, monet järjestelmät eivät asentaneet korjaustiedostoja ja pysyivät haavoittuvina.
EternalBluen käyttö
Hieman alle kuukausi rikosten julkaisemisen jälkeen, 12th toukokuussa 2017 "Wannacry" ransomware-mato julkaistiin käyttämällä EternalBlue-hyötyä levittääkseen itsensä mahdollisimman moneen järjestelmään. Microsoft julkaisi seuraavana päivänä hätätietoturvakorjaukset ei-tuetuille Windows-versioille: XP, 8 ja Server 2003.
Vinkki: "Ransomware" on haittaohjelmien luokka, joka salaa tartunnan saaneet laitteet ja säilyttää sitten lunnaiden salauksen purkuavaimen, tyypillisesti Bitcoinille tai muille kryptovaluutoille. "Mato" on haittaohjelmien luokka, joka leviää automaattisesti muihin tietokoneisiin sen sijaan, että se vaatisi tietokoneiden saattamista yksittäin.
Mukaan IBM X-Force "Wannacry" kiristysohjelmamato oli vastuussa yli 8 miljardin dollarin vahingoista 150 maassa, vaikka hyväksikäyttö toimi luotettavasti vain Windows 7:ssä ja Server 2008:ssa. Helmikuussa 2018 tietoturvatutkijat onnistuneesti modifioivat hyväksikäyttöä voidakseen toimia luotettavasti kaikissa Windows-versioissa Windows 2000:n jälkeen.
Toukokuussa 2019 Yhdysvaltain kaupunki Baltimore joutui kyberhyökkäykseen, jossa hyödynnettiin EternalBlue-hyötyä. Useat kyberturvallisuusasiantuntijat huomauttivat, että tämä tilanne oli täysin estettävissä, koska korjaustiedostoja oli ollut saatavilla yli yli kaksi vuotta tuolloin, ajanjakso, jonka aikana ainakin "kriittisten tietoturvakorjausten" ja "julkisten hyväksikäyttöjen" olisi pitänyt olla asennettu.