"EternalBlue" je ime za izkoriščanje, ki ga je razvil NSA za ranljivost v SMBv1, ki je bila prisotna v vseh operacijskih sistemih Windows med Windows 95 in Windows 10. Server Message Block različice 1 ali SMBv1 je komunikacijski protokol, ki se uporablja za skupno rabo dostopa do datotek, tiskalnikov in serijskih vrat prek omrežja.
Namig: NSA je bila prej opredeljena kot akter groženj »Equation Group«, preden so bili ta in drugi podvigi in dejavnost povezani z njimi.
NSA je ranljivost v protokolu SMB ugotovila vsaj že leta 2011. V skladu s svojo strategijo kopičenja ranljivosti za lastno uporabo se je odločil, da tega ne bo razkril Microsoftu, da bi lahko težavo popravili. NSA je nato razvila izkoriščanje za vprašanje, ki so ga poimenovali EternalBlue. EternalBlue je sposoben zagotoviti popoln nadzor nad ranljivim računalnikom, saj omogoča izvajanje poljubne kode na ravni skrbnika, ne da bi zahteval interakcijo uporabnika.
Posredniki v senci
Na neki točki, pred avgustom 2016, je NSA vdrla skupina, ki se imenuje »The Shadow Brokers«, za katero se domneva, da je hekerska skupina, ki jo sponzorira ruska država. Shadow Brokers so pridobili dostop do velike zaloge podatkov in orodij za vdiranje. Sprva so jih poskušali prodati na dražbi in jih prodati za denar, vendar so prejeli malo zanimanja.
Nasvet: »Skupina za hekerje, ki jo sponzorira država« je eden ali več hekerjev, ki delujejo bodisi z izrecnim soglasjem, podporo in navodili vlade bodisi za uradne vladne ofenzivne kibernetske skupine. Katera koli možnost kaže, da so skupine zelo dobro usposobljene, ciljno usmerjene in premišljene pri svojih dejanjih.
Potem ko je ugotovil, da so njihova orodja ogrožena, je NSA obvestil Microsoft o podrobnostih ranljivosti, da bi lahko razvili popravek. Popravek, ki je bil prvotno načrtovan za izdajo februarja 2017, je bil prestavljen na marec, da bi zagotovili, da so bile težave pravilno odpravljene. Na 14th marca 2017 je Microsoft objavil posodobitve, pri čemer je ranljivost EternalBlue podrobno opisala varnostni bilten MS17-010, za Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 in Server 2016.
Mesec dni kasneje, 14th aprila so The Shadow Brokers objavili izkoriščanje, skupaj z desetinami drugih podvigov in podrobnosti. Na žalost, kljub temu, da so bili popravki na voljo mesec dni pred objavo izkoriščanja, mnogi sistemi niso namestili popravkov in so ostali ranljivi.
Uporaba EternalBlue
Slabo mesec dni po objavi podvigov, 12th maja 2017 je bil z izkoriščanjem EternalBlue zagnan črv "Wannacry", ki se je razširil na čim več sistemov. Naslednji dan je Microsoft izdal nujne varnostne popravke za nepodprte različice sistema Windows: XP, 8 in Server 2003.
Nasvet: »Ransomware« je razred zlonamerne programske opreme, ki šifrira okužene naprave in nato zadrži ključ za dešifriranje za odkupnino, običajno za Bitcoin ali druge kriptovalute. »Črv« je razred zlonamerne programske opreme, ki se samodejno širi na druge računalnike, namesto da zahteva posamezno okužbo računalnikov.
Po navedbah IBM X-Force črv ransomware "Wannacry" je bil odgovoren za več kot 8 milijard ameriških dolarjev škode v 150 državah, čeprav je izkoriščanje zanesljivo delovalo le v operacijskih sistemih Windows 7 in Server 2008. Februarja 2018 so varnostni raziskovalci uspešno spremenili izkoriščanje, da bi lahko zanesljivo deloval v vseh različicah sistema Windows od Windows 2000 dalje.
Maja 2019 je ameriško mesto Baltimore prizadel kibernetski napad z uporabo izkoriščanja EternalBlue. Številni strokovnjaki za kibernetsko varnost so poudarili, da je to situacijo povsem preprečiti, saj so bili popravki na voljo že več kot dve leti na tej točki, časovno obdobje, v katerem bi morali biti vsaj »kritični varnostni popravki« z »javnimi izkoriščanji« nameščen.