„EternalBlue” to nazwa ujawnionego przez NSA exploita wykorzystującego lukę w zabezpieczeniach SMBv1, która była obecna we wszystkich systemach operacyjnych Windows między Windows 95 a Windows 10. Server Message Block w wersji 1 lub SMBv1 to protokół komunikacyjny używany do współdzielenia dostępu do plików, drukarek i portów szeregowych w sieci.
Wskazówka: NSA była wcześniej identyfikowana jako podmiot zajmujący się zagrożeniami z „Grupy równań”, zanim ten i inne exploity oraz działania zostały z nimi powiązane.
NSA zidentyfikowała lukę w protokole SMB przynajmniej w 2011 roku. Zgodnie ze swoją strategią gromadzenia luk na własny użytek, zdecydował się nie ujawniać ich firmie Microsoft, aby można było naprawić ten problem. Następnie NSA opracowała exploita dla problemu, który nazwali EternalBlue. EternalBlue jest w stanie zapewnić pełną kontrolę nad podatnym komputerem, ponieważ zapewnia wykonanie dowolnego kodu na poziomie administratora bez konieczności interakcji użytkownika.
Handlarze Cieni
W pewnym momencie, przed sierpniem 2016 r., NSA została zhakowana przez grupę nazywającą siebie „The Shadow Brokers”, uważaną za rosyjską grupę hakerską sponsorowaną przez państwo. Handlarze Cieni uzyskali dostęp do ogromnej skarbnicy danych i narzędzi hakerskich. Początkowo próbowali wystawić je na aukcję i sprzedać za pieniądze, ale otrzymali niewielkie zainteresowanie.
Wskazówka: „Grupa hakerska sponsorowana przez państwo” to co najmniej jeden haker działający za wyraźną zgodą, wsparciem i kierunkiem rządu lub na rzecz oficjalnych, ofensywnych grup rządowych. Każda z opcji wskazuje, że grupy są bardzo dobrze wykwalifikowane, ukierunkowane i celowe w swoich działaniach.
Po zrozumieniu, że ich narzędzia zostały naruszone, NSA poinformowała Microsoft o szczegółach luk w zabezpieczeniach, aby można było opracować łatę. Początkowo zaplanowana do wydania w lutym 2017 r. poprawka została przesunięta na marzec, aby zapewnić prawidłowe rozwiązanie problemów. 14NS z marca 2017 r. firma Microsoft opublikowała aktualizacje, a luka w zabezpieczeniach EternalBlue została szczegółowo opisana przez biuletyn bezpieczeństwa MS17-010, dla Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 i Server 2016.
Miesiąc później 14NS z kwietnia The Shadow Brokers opublikował exploita, wraz z dziesiątkami innych exploitów i szczegółów. Niestety, mimo że łatki były dostępne przez miesiąc przed opublikowaniem exploitów, wiele systemów nie zainstalowało łat i pozostało podatnych na ataki.
Korzystanie z EternalBlue
Niecały miesiąc po opublikowaniu exploitów, 12NS z maja 2017 r. robak ransomware „Wannacry” został uruchomiony przy użyciu exploita EternalBlue do rozprzestrzeniania się na jak najwięcej systemów. Następnego dnia firma Microsoft wydała awaryjne poprawki bezpieczeństwa dla nieobsługiwanych wersji systemu Windows: XP, 8 i Server 2003.
Wskazówka: „Ransomware” to klasa złośliwego oprogramowania, które szyfruje zainfekowane urządzenia, a następnie przechowuje klucz odszyfrowujący w celu uzyskania okupu, zazwyczaj dla Bitcoina lub innych kryptowalut. „Worm” to klasa złośliwego oprogramowania, które automatycznie rozprzestrzenia się na inne komputery, zamiast wymagać indywidualnego zainfekowania komputerów.
Według IBM X-Force robak ransomware „Wannacry” był odpowiedzialny za ponad 8 miliardów dolarów szkód w 150 krajach, mimo że exploit działał niezawodnie tylko w systemach Windows 7 i Server 2008. W lutym 2018 r. analitycy bezpieczeństwa pomyślnie zmodyfikowali exploita, aby mógł działać niezawodnie na wszystkich wersjach systemu Windows od Windows 2000.
W maju 2019 r. amerykańskie miasto Baltimore zostało dotknięte cyberatakiem z wykorzystaniem exploita EternalBlue. Wielu ekspertów ds. cyberbezpieczeństwa wskazało, że tej sytuacji można było całkowicie zapobiec, ponieważ łatki były dostępne od ponad dwa lata w tym momencie, okres, w którym przynajmniej „Krytyczne poprawki bezpieczeństwa” z „Publicznymi exploitami” powinny być zainstalowany.