Какво е EternalBlue?

„EternalBlue“ е името за изтекъл експлойт, разработен от NSA за уязвимост в SMBv1, която присъстваше във всички операционни системи Windows между Windows 95 и Windows 10. Server Message Block версия 1, или SMBv1, е комуникационен протокол, който се използва за споделяне на достъп към файлове, принтери и серийни портове през мрежата.

Съвет: NSA по-рано беше идентифицирана като заплаха от „Equation Group“, преди тази и други експлойти и дейности да бъдат свързани с тях.

NSA идентифицира уязвимостта в протокола за SMB поне още през 2011 г. Съгласно стратегията си за натрупване на уязвимости за собствена употреба, избра да не я разкрива на Microsoft, за да може проблемът да бъде коригиран. След това NSA разработи експлойт за проблема, който нарекоха EternalBlue. EternalBlue е в състояние да предостави пълен контрол върху уязвим компютър, тъй като предоставя произволно изпълнение на код на ниво администратор, без да изисква взаимодействие с потребителя.

Брокерите в сянка

В някакъв момент, преди август 2016 г., NSA беше хакната от група, наричаща себе си „The Shadow Brokers“, за която се смята, че е спонсорирана от руската държава хакерска група. Shadow Brokers получиха достъп до голям набор от данни и инструменти за хакване. Първоначално се опитаха да ги продадат на търг и да ги продадат за пари, но получиха малък интерес.

Съвет: „Спонсорирана от държавата хакерска група“ е един или повече хакери, работещи или с изричното съгласие, подкрепа и указание на правителството, или за официални правителствени офанзивни кибергрупи. Всеки вариант показва, че групите са много добре квалифицирани, целенасочени и обмислени в своите действия. 

След като разбра, че техните инструменти са компрометирани, NSA информира Microsoft за подробностите за уязвимостите, за да може да бъде разработена корекция. Първоначално планирано за пускане през февруари 2017 г., корекцията беше отложена за март, за да се гарантира, че проблемите са коригирани правилно. На 14 март 2017 г. Microsoft публикува актуализациите, като уязвимостта EternalBlue е описана подробно в бюлетина за сигурност MS17-010 за Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 и Server 2016.

Месец по-късно, на 14 април, The Shadow Brokers публикува експлойта, заедно с десетки други експлойти и подробности. За съжаление, въпреки че кръпките бяха налични един месец преди публикуването на експлойтите, много системи не инсталираха пачовете и останаха уязвими.

Използване на EternalBlue

Малко по-малко от месец след публикуването на експлойтите, на 12 май 2017 г. беше пуснат червеят „Wannacry“ ransomware, използвайки експлойта EternalBlue, за да се разпространи до възможно най-много системи. На следващия ден Microsoft пусна спешни корекции за сигурност за неподдържаните версии на Windows: XP, 8 и Server 2003.

Съвет: „Ransomware“ е клас злонамерен софтуер, който криптира заразени устройства и след това държи ключа за декриптиране за откуп, обикновено за биткойн или други криптовалути. „Червей“ е клас злонамерен софтуер, който автоматично се разпространява към други компютри, вместо да изисква компютрите да бъдат индивидуално заразени.

Според IBM X-Force червеят ransomware „Wannacry” е отговорен за повече от 8 милиарда щатски долара щети в 150 държави, въпреки че експлойтът работи надеждно само на Windows 7 и Server 2008. През февруари 2018 г. изследователите по сигурността успешно модифицират експлойта на да може да работи надеждно на всички версии на Windows след Windows 2000.

През май 2019 г. американският град Балтимор беше засегнат от кибератака, използваща експлоата EternalBlue. Редица експерти по киберсигурност посочиха, че тази ситуация е напълно предотвратима, тъй като към този момент пачове са били налични повече от две години, период от време, през който е трябвало да бъдат инсталирани най-малко „критични корекции за сигурност“ с „обществени експлойти“.