Çfarë është EternalBlue?

"EternalBlue" është emri për një shfrytëzim të rrjedhur të zhvilluar nga NSA për një dobësi në SMBv1 që ishte i pranishëm në të gjitha sistemet operative Windows midis Windows 95 dhe Windows 10. Versioni 1 i Bllokut të Mesazheve të Serverit, ose SMBv1, është një protokoll komunikimi që përdoret për të ndarë aksesin te skedarët, printerët dhe portat serike në rrjet.

Këshillë: NSA ishte identifikuar më parë si një aktor kërcënimi i "Equation Group" përpara se ky dhe shfrytëzime dhe aktivitete të tjera të lidheshin me to.

NSA e identifikoi cenueshmërinë në protokollin SMB të paktën që në vitin 2011. Sipas strategjisë së saj të grumbullimit të dobësive për përdorimin e saj, zgjodhi të mos ia zbulonte Microsoft-it në mënyrë që çështja të mund të rregullohej. NSA më pas zhvilloi një shfrytëzim për çështjen të cilën e quajtën EternalBlue. EternalBlue është në gjendje të japë kontroll të plotë mbi një kompjuter të cenueshëm pasi jep ekzekutim arbitrar të kodit në nivel administratori pa kërkuar ndërveprim të përdoruesit.

Ndërmjetësit Shadow

Në një moment, para gushtit 2016, NSA u hakerua nga një grup që e quan veten "The Shadow Brokers", që besohet të jetë një grup hakerash i sponsorizuar nga shteti rus. Shadow Brokers fituan akses në një sasi të madhe të dhënash dhe mjetesh hakerimi. Fillimisht ata u përpoqën t'i nxjerrin në ankand dhe t'i shisnin për para, por patën pak interes.

Këshillë: Një "grup hakerimi i sponsorizuar nga shteti" është një ose më shumë hakerë që veprojnë ose me pëlqimin, mbështetjen dhe drejtimin e qartë të qeverisë ose për grupet kibernetike ofenduese zyrtare qeveritare. Secili opsion tregon se grupet janë shumë mirë të kualifikuara, të synuara dhe të qëllimshme në veprimet e tyre. 

Pasi kuptoi se mjetet e tyre ishin komprometuar, NSA informoi Microsoft-in për detajet e dobësive në mënyrë që të mund të zhvillohej një patch. Fillimisht e planifikuar për t'u lëshuar në shkurt 2017, patch-i u shty në mars për t'u siguruar që problemet ishin rregulluar saktë. Më 14 mars 2017, Microsoft publikoi përditësimet, me dobësinë EternalBlue të detajuar nga buletini i sigurisë MS17-010, për Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 dhe Server 2016.

Një muaj më vonë, më 14 prill, The Shadow Brokers publikoi shfrytëzimin, së bashku me dhjetëra shfrytëzime dhe detaje të tjera. Fatkeqësisht, pavarësisht se arnimet ishin të disponueshme për një muaj përpara se të publikoheshin shfrytëzimet, shumë sisteme nuk i instaluan ato dhe mbetën të cenueshme.

Përdorimi i EternalBlue

Pak më pak se një muaj pas publikimit të shfrytëzimeve, më 12 maj 2017, krimbi i ransomware "Wannacry" u lançua duke përdorur shfrytëzimin EternalBlue për t'u përhapur në sa më shumë sisteme. Ditën tjetër Microsoft lëshoi ​​arnime sigurie emergjente për versionet e pambështetura të Windows: XP, 8 dhe Server 2003.

Këshillë: "Ransomware" është një klasë e malware që kodon pajisjet e infektuara dhe më pas mban çelësin e deshifrimit për shpërblesë, zakonisht për Bitcoin ose kriptovaluta të tjera. Një "Worm" është një klasë e malware që përhapet automatikisht në kompjuterë të tjerë, në vend që të kërkojë që kompjuterët të infektohen individualisht.

Sipas IBM X-Force , krimbi ransomware "Wannacry" ishte përgjegjës për më shumë se 8 miliardë dollarë dëme në 150 vende, edhe pse shfrytëzimi funksionoi në mënyrë të besueshme vetëm në Windows 7 dhe Server 2008. Në shkurt 2018, studiuesit e sigurisë modifikuan me sukses shfrytëzimin në të jetë në gjendje të punojë me besueshmëri në të gjitha versionet e Windows që nga Windows 2000.

Në maj 2019, qyteti amerikan i Baltimores u godit nga një sulm kibernetik duke përdorur shfrytëzimin EternalBlue. Një numër ekspertësh të sigurisë kibernetike vunë në dukje se kjo situatë ishte plotësisht e parandalueshme pasi arnimet ishin të disponueshme për më shumë se dy vjet në atë moment, një periudhë kohore gjatë së cilës duhet të ishin instaluar të paktën "Arnime Kritike të Sigurisë" me "Shfrytëzime Publike".