„EternalBlue“ je názov pre uniknutý exploit vyvinutý NSA pre zraniteľnosť v SMBv1, ktorá bola prítomná vo všetkých operačných systémoch Windows medzi Windows 95 a Windows 10. Server Message Block verzie 1 alebo SMBv1 je komunikačný protokol, ktorý sa používa na zdieľanie prístupu k súborom, tlačiarňam a sériovým portom cez sieť.
Tip: NSA bola predtým identifikovaná ako aktér hrozieb „Equation Group“ predtým, ako s ňou boli spojené toto a ďalšie exploity a aktivity.
NSA identifikovala zraniteľnosť v protokole SMB minimálne už v roku 2011. V rámci svojej stratégie hromadenia zraniteľných miest pre vlastnú potrebu sa rozhodol nezverejniť to spoločnosti Microsoft, aby bolo možné problém opraviť. NSA potom vyvinula exploit pre problém, ktorý nazvali EternalBlue. EternalBlue je schopný poskytnúť úplnú kontrolu nad zraniteľným počítačom, pretože umožňuje spúšťanie ľubovoľného kódu na úrovni správcu bez potreby interakcie používateľa.
Shadow Brokers
V určitom okamihu, pred augustom 2016, bola NSA napadnutá skupinou, ktorá si hovorila „The Shadow Brokers“, o ktorej sa predpokladá, že ide o hackerskú skupinu podporovanú ruským štátom. Shadow Brokers získali prístup k veľkému množstvu údajov a hackerských nástrojov. Spočiatku sa ich pokúšali vydražiť a predať za peniaze, ale dostali malý záujem.
Tip: „Štátom sponzorovaná hackerská skupina“ je jeden alebo viac hackerov pôsobiacich buď s výslovným súhlasom, podporou a vedením vlády, alebo pre oficiálne vládne útočné kybernetické skupiny. Každá z možností naznačuje, že skupiny sú veľmi dobre kvalifikované, cielené a premyslené vo svojich krokoch.
Po tom, čo NSA pochopila, že ich nástroje boli ohrozené, informovala Microsoft o podrobnostiach o zraniteľnosti, aby bolo možné vyvinúť opravu. Pôvodne naplánované vydanie vo februári 2017, oprava bola posunutá do marca, aby sa zabezpečilo správne vyriešenie problémov. Dňa 14th z marca 2017 spoločnosť Microsoft zverejnila aktualizácie, pričom zraniteľnosť EternalBlue podrobne popisuje bezpečnostný bulletin MS17-010, pre Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 a Server 2016.
O mesiac neskôr, 14th apríla The Shadow Brokers zverejnil exploit spolu s desiatkami ďalších exploitov a detailov. Bohužiaľ, napriek tomu, že záplaty boli dostupné mesiac pred zverejnením exploitov, mnohé systémy si záplaty nenainštalovali a zostali zraniteľné.
Použitie EternalBlue
Necelý mesiac po zverejnení exploitov, 12th mája 2017 bol spustený ransomvérový červ „Wannacry“ pomocou exploitu EternalBlue, aby sa rozšíril do čo najväčšieho počtu systémov. Nasledujúci deň spoločnosť Microsoft vydala núdzové bezpečnostné záplaty pre nepodporované verzie systému Windows: XP, 8 a Server 2003.
Tip: „Ransomware“ je trieda malvéru, ktorý zašifruje infikované zariadenia a následne zadrží dešifrovací kľúč na výkupné, zvyčajne pre bitcoiny alebo iné kryptomeny. „Červ“ je trieda škodlivého softvéru, ktorý sa automaticky šíri do iných počítačov a nevyžaduje, aby boli počítače jednotlivo infikované.
Podľa IBM X-Force ransomvérový červ „Wannacry“ bol zodpovedný za škody vo výške viac ako 8 miliárd USD v 150 krajinách, aj keď tento exploit spoľahlivo fungoval iba na Windows 7 a Server 2008. Vo februári 2018 výskumníci v oblasti bezpečnosti úspešne upravili exploit, aby mohol spoľahlivo fungovať na všetkých verziách Windowsu od Windowsu 2000.
V máji 2019 zasiahol americké mesto Baltimore kybernetický útok využívajúci exploit EternalBlue. Viacerí experti na kybernetickú bezpečnosť poukázali na to, že tejto situácii sa dalo úplne predísť, keďže záplaty boli dostupné už viac ako dva roky, čo je časové obdobie, počas ktorého by mali byť aspoň „kritické bezpečnostné záplaty“ s „verejným zneužívaním“ nainštalovaný.