«EternalBlue» - это имя просочившегося эксплойта, разработанного АНБ для уязвимости в SMBv1, которая присутствовала во всех операционных системах Windows от Windows 95 до Windows 10. Серверный блок сообщений версии 1 или SMBv1 - это протокол связи, который используется для совместного доступа к файлам, принтерам и последовательным портам по сети.
Совет: Агентство национальной безопасности ранее определялось как субъект угрозы «Equation Group» до того, как к нему были привязаны этот и другие эксплойты и действия.
АНБ выявило уязвимость в протоколе SMB как минимум еще в 2011 году. В соответствии со своей стратегией накопления уязвимостей для собственного использования, она предпочла не сообщать об этом Microsoft, чтобы проблему можно было исправить. Затем АНБ разработало эксплойт для этой проблемы, который они назвали EternalBlue. EternalBlue может предоставить полный контроль над уязвимым компьютером, поскольку он обеспечивает выполнение произвольного кода на уровне администратора без вмешательства пользователя.
Теневые посредники
В какой-то момент, до августа 2016 года, АНБ было взломано группой, называющей себя «Теневые брокеры», которая, как полагают, является спонсируемой Россией хакерской группой. Shadow Brokers получили доступ к огромному количеству данных и хакерских инструментов. Сначала они пытались продать их с аукциона и продать за деньги, но не получили особого интереса.
Совет: «Хакерская группа, спонсируемая государством» - это один или несколько хакеров, действующих либо с явного согласия, поддержки и указаний правительства, либо с официальными правительственными наступательными кибер-группами. Любой вариант указывает на то, что группы очень квалифицированы, целенаправленны и целенаправленны в своих действиях.
Поняв, что их инструменты были скомпрометированы, АНБ проинформировало Microsoft о деталях уязвимостей, чтобы можно было разработать исправление. Изначально запланированный к выпуску в феврале 2017 года патч был перенесен на март, чтобы убедиться, что проблемы были исправлены правильно. 14th в марте 2017 года Microsoft опубликовала обновления, при этом уязвимость EternalBlue подробно описана бюллетень по безопасности MS17-010, для Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 и Server 2016.
Месяц спустя, 14th апреля The Shadow Brokers опубликовали эксплойт вместе с десятками других эксплойтов и подробностей. К сожалению, несмотря на то, что исправления были доступны за месяц до публикации эксплойтов, многие системы не установили исправления и остались уязвимыми.
Использование EternalBlue
Менее чем через месяц после публикации эксплойтов 12th В мае 2017 года с помощью эксплойта EternalBlue был запущен червь-вымогатель Wannacry, который распространился на максимальное количество систем. На следующий день Microsoft выпустила экстренные исправления безопасности для неподдерживаемых версий Windows: XP, 8 и Server 2003.
Совет. «Программы-вымогатели» - это класс вредоносных программ, которые шифруют зараженные устройства и затем хранят ключ дешифрования для выкупа, обычно для биткойнов или других криптовалют. «Червь» - это класс вредоносного ПО, которое автоматически распространяется на другие компьютеры, а не требует индивидуального заражения компьютеров.
В соответствии с IBM X-Force Червь-вымогатель «Wannacry» нанес ущерб на сумму более 8 миллиардов долларов США в 150 странах, хотя эксплойт надежно работал только на Windows 7 и Server 2008. В феврале 2018 года исследователи безопасности успешно модифицировали эксплойт, чтобы он мог надежно работать во всех версиях Windows, начиная с Windows 2000.
В мае 2019 года американский город Балтимор подвергся кибератаке с использованием эксплойта EternalBlue. Ряд экспертов по кибербезопасности указали, что эту ситуацию можно полностью предотвратить, поскольку исправления были доступны для более чем два года на тот момент, период времени, в течение которого должны были быть установлены.