Što je EternalBlue?

"EternalBlue" je naziv za procurili eksploataciju koju je razvio NSA za ranjivost u SMBv1 koja je bila prisutna u svim Windows operativnim sustavima između Windows 95 i Windows 10. Server Message Block verzija 1, ili SMBv1, je komunikacijski protokol koji se koristi za dijeljenje pristupa na datoteke, pisače i serijske portove preko mreže.

Savjet: NSA je prethodno bila identificirana kao akter prijetnje "Equation Group" prije nego što su ova i druga eksploatacija i aktivnost bili povezani s njima.

NSA je identificirala ranjivost u protokolu za mala i srednja poduzeća barem još 2011. Pod svojom strategijom gomilanja ranjivosti za vlastitu upotrebu, odlučila je ne otkriti je Microsoftu kako bi se problem mogao zakrpiti. NSA je tada razvila exploit za problem koji su nazvali EternalBlue. EternalBlue može dati potpunu kontrolu nad ranjivim računalom jer dopušta izvršavanje proizvoljnog koda na razini administratora bez potrebe za interakcijom korisnika.

The Shadow Brokers

U nekom trenutku, prije kolovoza 2016., NSA je hakirala grupa koja sebe naziva "The Shadow Brokers", za koju se vjeruje da je ruska hakerska grupa koju sponzorira država. Shadow Brokers je dobio pristup velikom broju podataka i alata za hakiranje. Isprva su ih pokušali prodati na aukciji i prodati za novac, ali su dobili malo interesa.

Savjet: "Hakerska grupa koju sponzorira država" je jedan ili više hakera koji djeluju ili uz izričit pristanak, podršku i smjer vlade ili za službene vladine ofenzivne cyber grupe. Svaka od opcija ukazuje na to da su grupe vrlo dobro kvalificirane, ciljane i promišljene u svojim akcijama. 

Nakon što je shvatio da su njihovi alati ugroženi, NSA je obavijestila Microsoft o detaljima ranjivosti kako bi se mogla razviti zakrpa. Prvobitno zakazano za izdavanje u veljači 2017., zakrpa je pomaknuta na ožujak kako bi se osiguralo da su problemi ispravno riješeni. Microsoft je 14. ožujka 2017. objavio ažuriranja, a ranjivost EternalBlue je detaljno opisana u sigurnosnom biltenu MS17-010 za Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 i Server 2016.

Mjesec dana kasnije, 14. travnja, The Shadow Brokers objavili su eksploataciju, zajedno s desecima drugih eksploata i detalja. Nažalost, unatoč tome što su zakrpe bile dostupne mjesec dana prije objave exploita, mnogi sustavi nisu instalirali zakrpe i ostali su ranjivi.

Korištenje EternalBlue

Nešto manje od mjesec dana nakon što su eksploatacije objavljene, 12. svibnja 2017. pokrenut je crv “Wannacry” ransomware koristeći EternalBlue exploit kako bi se proširio na što više sustava. Sljedećeg dana Microsoft je objavio hitne sigurnosne zakrpe za nepodržane verzije sustava Windows: XP, 8 i Server 2003.

Savjet: "Ransomware" je klasa zlonamjernog softvera koji šifrira zaražene uređaje, a zatim drži ključ za dešifriranje za otkupninu, obično za Bitcoin ili druge kriptovalute. "Crv" je klasa zlonamjernog softvera koji se automatski širi na druga računala, umjesto da zahtijeva da se računala pojedinačno zaraze.

Prema IBM X-Forceu, crv ransomware “Wannacry” bio je odgovoran za više od 8 milijardi američkih dolara štete u 150 zemalja, iako je eksploatacija pouzdano radila samo na Windows 7 i Server 2008. U veljači 2018. istraživači sigurnosti uspješno su modificirali eksploataciju u moći pouzdano raditi na svim verzijama sustava Windows od Windowsa 2000.

U svibnju 2019. američki grad Baltimore bio je pogođen cyber napadom koji je koristio EternalBlue exploit. Brojni stručnjaci za kibernetičku sigurnost istaknuli su da se ova situacija u potpunosti može spriječiti jer su zakrpe u tom trenutku bile dostupne više od dvije godine, u vremenskom razdoblju tijekom kojeg su trebale biti instalirane barem "kritične sigurnosne zakrpe" s "javnim iskorištavanjem".