«EternalBlue» — це назва витоку експлойту, розробленого АНБ для вразливості в SMBv1, яка була присутня в усіх операційних системах Windows від Windows 95 до Windows 10. Server Message Block версії 1, або SMBv1, — це протокол зв’язку, який використовується для спільного доступу до файлів, принтерів і послідовних портів через мережу.
Порада: АНБ раніше було ідентифіковано як загроза «Equation Group», перш ніж ця та інші дії та діяльність були пов’язані з ними.
АНБ виявило вразливість у протоколі SMB принаймні ще в 2011 році. Відповідно до своєї стратегії накопичення вразливостей для власного використання, вирішив не розголошувати це Microsoft, щоб проблему можна було виправити. Потім АНБ розробило експлойт для проблеми, яку вони назвали EternalBlue. EternalBlue здатний надати повний контроль над вразливим комп’ютером, оскільки він надає виконання довільного коду на рівні адміністратора, не вимагаючи взаємодії з користувачем.
Тіньові брокери
У якийсь момент, до серпня 2016 року, АНБ було зламано групою, яка називала себе «Тіньовими брокерами», яка, як вважають, є хакерською групою, що фінансується державою. Shadow Brokers отримали доступ до великої кількості даних та інструментів злому. Спочатку вони намагалися продати їх з аукціону та продати за гроші, але не отримали мало інтересу.
Порада: «Спонсорована державою хакерська група» — це один або кілька хакерів, які діють або з явної згоди, підтримки та керівництва уряду, або для офіційних урядових наступальних кібер-груп. Будь-який варіант вказує на те, що групи дуже добре кваліфіковані, цілеспрямовані та обдумані у своїх діях.
Зрозумівши, що їхні інструменти були зламані, АНБ повідомило Microsoft про деталі вразливостей, щоб можна було розробити виправлення. Вихід спочатку запланований на лютий 2017 року, але виправлення було перенесено на березень, щоб переконатися, що проблеми були правильно виправлені. На 14th У березні 2017 року Microsoft опублікувала оновлення, де вразливість EternalBlue була детально описана бюлетень безпеки MS17-010, для Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 і Server 2016.
Через місяць, 14th У квітні The Shadow Brokers опублікували експлойт разом із десятками інших експлойтів та деталей. На жаль, незважаючи на те, що виправлення були доступні за місяць до публікації експлойтів, багато систем не встановили виправлення і залишалися вразливими.
Використання EternalBlue
Трохи менше ніж через місяць після публікації подвигів, 12th У травні 2017 року хробак-вимагач «Wannacry» був запущений за допомогою експлойту EternalBlue, щоб поширитися на якомога більше систем. Наступного дня Microsoft випустила екстрені виправлення безпеки для непідтримуваних версій Windows: XP, 8 і Server 2003.
Порада: «Програми-вимагачі» — це клас шкідливих програм, які шифрують заражені пристрої, а потім зберігають ключ дешифрування для викупу, як правило, для біткойн або інших криптовалют. «Черв’як» — це клас зловмисного програмного забезпечення, яке автоматично поширюється на інші комп’ютери, а не вимагає окремого зараження комп’ютерів.
Згідно з IBM X-Force хробак-вимагач «Wannacry» завдав збитків на суму понад 8 мільярдів доларів у 150 країнах, хоча експлойт надійно працював лише на Windows 7 та Server 2008. У лютому 2018 року дослідники безпеки успішно модифікували експлойт, щоб він міг надійно працювати на всіх версіях Windows, починаючи з Windows 2000.
У травні 2019 року американське місто Балтімор зазнало кібератаки з використанням експлойту EternalBlue. Ряд експертів з кібербезпеки відзначили, що цю ситуацію цілком можна запобігти, оскільки патчі були доступні більше ніж два роки на той момент, період часу, протягом якого мали бути створені принаймні «Критичні виправлення безпеки» з «Public Exploits». встановлено.