“EternalBlue” je naziv za procurili eksploataciju koju je razvio NSA za ranjivost u SMBv1 koja je bila prisutna u svim Windows operativnim sustavima između Windows 95 i Windows 10. Server Message Block verzija 1, ili SMBv1, komunikacijski je protokol koji se koristi za dijeljenje pristupa datotekama, pisačima i serijskim portovima preko mreže.
Savjet: NSA je prethodno bila identificirana kao akter prijetnje "Equation Group" prije nego što su ova i druga eksploatacija i aktivnost bili povezani s njima.
NSA je identificirala ranjivost u SMB protokolu barem još 2011. Pod svojom strategijom gomilanja ranjivosti za vlastitu upotrebu, odlučio je to ne otkriti Microsoftu kako bi se problem mogao zakrpiti. NSA je tada razvila eksploataciju za problem koji su nazvali EternalBlue. EternalBlue može dati potpunu kontrolu nad ranjivim računalom jer dopušta izvršavanje proizvoljnog koda na razini administratora bez potrebe za interakcijom korisnika.
Brokeri iz sjene
U nekom trenutku, prije kolovoza 2016., NSA je hakirala grupa koja sebe naziva "The Shadow Brokers", za koju se vjeruje da je ruska hakerska grupa koju sponzorira država. Shadow Brokers dobili su pristup velikom broju podataka i alata za hakiranje. Isprva su ih pokušali prodati na aukciji i prodati za novac, ali su dobili malo interesa.
Savjet: "Hakerska grupa koju sponzorira država" je jedan ili više hakera koji djeluju ili uz izričiti pristanak, podršku i smjernice vlade ili za službene vladine ofenzivne cyber grupe. Svaka od opcija ukazuje na to da su grupe vrlo dobro kvalificirane, ciljane i promišljene u svojim akcijama.
Nakon što je shvatio da su njihovi alati ugroženi, NSA je obavijestila Microsoft o detaljima ranjivosti kako bi se mogla razviti zakrpa. Prvobitno zakazano za izdavanje u veljači 2017., zakrpa je pomaknuta na ožujak kako bi se osiguralo da su problemi ispravno riješeni. Dana 14th ožujka 2017., Microsoft je objavio ažuriranja, pri čemu je ranjivost EternalBlue detaljno opisana od strane sigurnosni bilten MS17-010, za Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 i Server 2016.
Mjesec dana kasnije, 14th travnja, The Shadow Brokers objavili su eksploataciju, zajedno s desecima drugih eksploata i detalja. Nažalost, unatoč tome što su zakrpe bile dostupne mjesec dana prije objave exploita, mnogi sustavi nisu instalirali zakrpe i ostali su ranjivi.
Korištenje EternalBlue
Nešto manje od mjesec dana nakon što su podvizi objavljene, 12th svibnja 2017. pokrenut je ransomware crv “Wannacry” koristeći eksploataciju EternalBlue kako bi se proširio na što više sustava. Sljedećeg dana Microsoft je objavio hitne sigurnosne zakrpe za nepodržane verzije sustava Windows: XP, 8 i Server 2003.
Savjet: "Ransomware" je klasa zlonamjernog softvera koji šifrira zaražene uređaje, a zatim drži ključ za dešifriranje za otkupninu, obično za Bitcoin ili druge kriptovalute. "Crv" je klasa zlonamjernog softvera koji se automatski širi na druga računala, umjesto da zahtijeva da se računala pojedinačno zaraze.
Prema IBM X-Force “Wannacry” ransomware crv je odgovoran za više od 8 milijardi američkih dolara štete u 150 zemalja iako je eksploatacija pouzdano funkcionirala samo na Windows 7 i Serveru 2008. U veljači 2018. istraživači sigurnosti uspješno su modificirali eksploataciju kako bi mogli pouzdano raditi na svim verzijama sustava Windows od Windowsa 2000.
U svibnju 2019. američki grad Baltimore bio je pogođen cyber napadom koji je koristio EternalBlue exploit. Brojni stručnjaci za kibernetičku sigurnost istaknuli su da se ova situacija u potpunosti može spriječiti jer su zakrpe bile dostupne više od dvije godine u tom trenutku, vremensko razdoblje u kojem su trebale biti najmanje "kritične sigurnosne zakrpe" s "javnim iskorištavanjem" instaliran.