„EternalBlue“ არის NSA-ის გაჟონვის სახელი, რომელიც შეიქმნა SMBv1-ში დაუცველობისთვის, რომელიც იყო Windows 95-სა და Windows 10-ს შორის არსებული Windows-ის ყველა ოპერაციულ სისტემაში. Server Message Block ვერსია 1, ან SMBv1, არის საკომუნიკაციო პროტოკოლი, რომელიც გამოიყენება ქსელში ფაილებზე, პრინტერებსა და სერიულ პორტებზე წვდომის გასაზიარებლად.
რჩევა: NSA ადრე იყო იდენტიფიცირებული, როგორც „განტოლების ჯგუფის“ საფრთხის აქტორი, სანამ ეს და სხვა ექსპლოიტები და აქტივობები მათთან იყო დაკავშირებული.
NSA-მ გამოავლინა დაუცველობა SMB პროტოკოლში მინიმუმ 2011 წელს. მოწყვლადობის საკუთარი გამოყენებისთვის დაგროვების სტრატეგიის თანახმად, მან აირჩია არ გაემჟღავნებინა ეს Microsoft-ისთვის, რათა პრობლემა მოგვარებულიყო. NSA-მ შემდეგ შეიმუშავა ექსპლოიტი ამ საკითხისთვის, რომელსაც მათ EternalBlue უწოდეს. EternalBlue-ს შეუძლია უზრუნველყოს სრული კონტროლი დაუცველ კომპიუტერზე, რადგან ის იძლევა ადმინისტრატორის დონეზე თვითნებური კოდის შესრულებას მომხმარებლის ურთიერთქმედების საჭიროების გარეშე.
ჩრდილოვანი ბროკერები
რაღაც მომენტში, 2016 წლის აგვისტომდე NSA გატეხილი იქნა ჯგუფის მიერ, რომელიც საკუთარ თავს "ჩრდილოვანი ბროკერებს" უწოდებდა, რომელიც რუსეთის სახელმწიფოს მიერ დაფინანსებული ჰაკერული ჯგუფი იყო. Shadow Brokers-მა მოიპოვა წვდომა მონაცემთა და ჰაკერების ინსტრუმენტების დიდ მარაგზე. თავდაპირველად ისინი ცდილობდნენ აუქციონზე გატანას და ფულზე გაყიდვას, მაგრამ მცირე პროცენტი მიიღეს.
რჩევა: „სახელმწიფოს მიერ დაფინანსებული ჰაკერების ჯგუფი“ არის ერთი ან მეტი ჰაკერი, რომელიც მოქმედებს ან მთავრობის აშკარა თანხმობით, მხარდაჭერით და მითითებით ან ოფიციალური სამთავრობო შეტევითი კიბერ ჯგუფებისთვის. ორივე ვარიანტი მიუთითებს იმაზე, რომ ჯგუფები არიან ძალიან კარგად კვალიფიცირებული, მიზანმიმართული და მიზანმიმართული თავიანთ ქმედებებში.
მას შემდეგ, რაც გაიგო, რომ მათი ხელსაწყოები კომპრომეტირებული იყო, NSA-მ აცნობა მაიკროსოფტს დაუცველობის დეტალები, რათა შესაძლებელი ყოფილიყო პაჩის შემუშავება. თავდაპირველად დაგეგმილი იყო 2017 წლის თებერვალში გამოშვება, პატჩი გადაიდო მარტში, რათა უზრუნველყოფილიყო პრობლემების სწორად დაფიქსირება. 14-ზეე 2017 წლის მარტში, Microsoft-მა გამოაქვეყნა განახლებები, სადაც EternalBlue დაუცველობა დეტალურად არის აღწერილი უსაფრთხოების ბიულეტენი MS17-010, Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 და Server 2016-ისთვის.
ერთი თვის შემდეგ 14ე აპრილში, The Shadow Brokers-მა გამოაქვეყნა ექსპლოიტი, ათობით სხვა ექსპლოიტთან და დეტალებთან ერთად. სამწუხაროდ, მიუხედავად იმისა, რომ პატჩები ხელმისაწვდომი იყო ექსპლოიტების გამოქვეყნებამდე ერთი თვით ადრე, ბევრმა სისტემამ არ დააინსტალირა პატჩები და დაუცველი დარჩა.
EternalBlue-ის გამოყენება
ექსპლოიტების გამოქვეყნებიდან სულ რაღაც ერთ თვეში, 12ე 2017 წლის მაისში "Wannacry" გამოსასყიდი პროგრამის ჭია დაიწყო EternalBlue ექსპლოიტის გამოყენებით, რათა გავრცელდეს რაც შეიძლება ბევრ სისტემაში. მეორე დღეს მაიკროსოფტმა გამოუშვა გადაუდებელი უსაფრთხოების პატჩები Windows-ის მხარდაუჭერელი ვერსიებისთვის: XP, 8 და Server 2003.
რჩევა: „Ransomware“ არის მავნე პროგრამების კლასი, რომელიც დაშიფვრავს ინფიცირებულ მოწყობილობებს და შემდეგ ინახავს გამოსასყიდის გაშიფვრის გასაღებს, როგორც წესი, ბიტკოინის ან სხვა კრიპტოვალუტისთვის. "Worm" არის მავნე პროგრამის კლასი, რომელიც ავტომატურად ვრცელდება სხვა კომპიუტერებზე, ვიდრე მოითხოვს კომპიუტერების ინდივიდუალურად ინფიცირებას.
Მიხედვით IBM X-Force "Wannacry" გამოსასყიდი პროგრამის ჭია იყო პასუხისმგებელი 8 მილიარდ აშშ დოლარზე მეტ ზარალზე 150 ქვეყანაში, მიუხედავად იმისა, რომ ექსპლოიტი საიმედოდ მუშაობდა მხოლოდ Windows 7-სა და Server 2008-ზე. 2018 წლის თებერვალში უსაფრთხოების მკვლევარებმა წარმატებით შეცვალეს ექსპლოიტი, რათა Windows 2000 წლიდან მოყოლებული Windows-ის ყველა ვერსიაზე საიმედოდ იმუშაონ.
2019 წლის მაისში აშშ-ს ქალაქ ბალტიმორს დაეჯახა კიბერშეტევა EternalBlue-ის გამოყენებით. კიბერუსაფრთხოების არაერთმა ექსპერტმა აღნიშნა, რომ ამ სიტუაციის თავიდან აცილება სრულიად შესაძლებელი იყო, რადგან პატჩები ხელმისაწვდომი იყო ორი წელი იმ მომენტში, პერიოდი, რომლის განმავლობაშიც უნდა ყოფილიყო მინიმუმ „უსაფრთხოების კრიტიკული პატჩები“ „საჯარო ექსპლოიტებით“ დაყენებული.