Az „EternalBlue” egy kiszivárgott NSA-nak a neve, amelyet az SMBv1 sebezhetőségére fejlesztettek ki, amely a Windows 95 és a Windows 10 között minden Windows operációs rendszerben jelen volt. A Server Message Block 1-es verziója vagy az SMBv1 egy kommunikációs protokoll, amely a fájlok, nyomtatók és soros portok hálózaton keresztüli elérésének megosztására szolgál.
Tipp: Az NSA-t korábban az „Equation Group” fenyegetettség szereplőjeként azonosították, mielőtt ezt és más kizsákmányolásokat és tevékenységeket hozzájuk kötötték volna.
Az NSA legalább 2011-ben azonosította az SMB protokoll biztonsági rését. A biztonsági réseket saját használatra gyűjtő stratégiája értelmében úgy döntött, hogy nem fedi fel a Microsoftnak, hogy a hibát kijavíthassák. Az NSA ezután kifejlesztett egy exploitot a problémára, amelyet EternalBlue-nak neveztek el. Az EternalBlue képes teljes irányítást biztosítani a sebezhető számítógépek felett, mivel rendszergazdai szintű tetszőleges kódfuttatást biztosít felhasználói beavatkozás nélkül.
Az árnyékbrókerek
Valamikor, 2016 augusztusa előtt, az NSA-t feltörte egy magát „The Shadow Brokers”-nek nevezett csoport, amely feltehetően orosz állami támogatású hackercsoport. Az Árnyékbrókerek rengeteg adathoz és hackereszközökhöz jutottak hozzá. Kezdetben megpróbálták elárverezni és pénzért eladni, de kevés kamatot kaptak.
Tipp: Az „államilag szponzorált hackercsoport” egy vagy több hacker, amely vagy a kormány kifejezett beleegyezésével, támogatásával és irányításával, vagy hivatalos kormányzati támadó kibercsoportok számára működik. Bármelyik opció azt jelzi, hogy a csoportok nagyon jól képzettek, céltudatosak és megfontoltak.
Miután megértette, hogy eszközeiket veszélybe sodorták, az NSA tájékoztatta a Microsoftot a sebezhetőség részleteiről, hogy a javítást ki lehessen fejleszteni. Az eredetileg 2017 februárjára tervezett javítást márciusra tolták el, hogy biztosítsák a problémák helyes megoldását. 14-énth 2017 márciusában a Microsoft közzétette a frissítéseket, amelyekben az EternalBlue sebezhetőségét a biztonsági közlemény MS17-010, Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 és Server 2016 rendszerekhez.
Egy hónappal később, 14th Áprilisban a The Shadow Brokers közzétette az exploitot, több tucatnyi más kizsákmányolással és részlettel együtt. Sajnos annak ellenére, hogy a javítások egy hónapig elérhetőek voltak a kihasználások közzététele előtt, sok rendszer nem telepítette a javításokat, és sebezhető maradt.
Az EternalBlue használata
Alig egy hónappal a tettek közzététele után, 12-énth 2017 májusában a „Wannacry” ransomware féreg elindult az EternalBlue kihasználásával, hogy a lehető legtöbb rendszerre elterjedjen. Másnap a Microsoft vészhelyzeti biztonsági javításokat adott ki a nem támogatott Windows-verziókhoz: XP, 8 és Server 2003.
Tipp: A „Ransomware” egy olyan rosszindulatú program, amely titkosítja a fertőzött eszközöket, majd megtartja a váltságdíj visszafejtési kulcsát, jellemzően Bitcoin vagy más kriptovaluta esetében. A „féreg” a rosszindulatú programok egy osztálya, amely automatikusan továbbterjed más számítógépekre, ahelyett, hogy a számítógépeket külön-külön meg kell fertőzni.
Alapján IBM X-Force a „Wannacry” ransomware féreg több mint 8 milliárd dolláros kárért volt felelős 150 országban, bár a kizsákmányolás csak Windows 7 és Server 2008 rendszeren működött megbízhatóan. 2018 februárjában a biztonsági kutatók sikeresen módosították az exploitot, hogy a Windows 2000 óta minden Windows-verzión megbízhatóan működhessen.
2019 májusában az amerikai Baltimore városát kibertámadás érte az EternalBlue kihasználásával. Számos kiberbiztonsági szakértő rámutatott, hogy ez a helyzet teljesen megelőzhető, mivel a javítások már több mint két év ezen a ponton, egy olyan időtartam, amely alatt legalább a „kritikus biztonsági javításoknak” a „nyilvános kihasználásokkal” kellett volna telepítve.