Kas yra EternalBlue?

„EternalBlue“ yra nutekėjusio NSA sukurto SMBv1 pažeidžiamumo išnaudojimo pavadinimas, kuris buvo visose „Windows“ operacinėse sistemose tarp „Windows 95“ ir „Windows 10“. Serverio pranešimų bloko 1 versija arba SMBv1 yra ryšio protokolas, naudojamas prieigai bendrinti. prie failų, spausdintuvų ir nuosekliųjų prievadų tinkle.

Patarimas: NSA anksčiau buvo nustatyta kaip „Equation Group“ grėsmės veikėja, kol šis ir kiti išnaudojimai bei veikla nebuvo su jais susieti.

NSA nustatė SMB protokolo pažeidžiamumą bent jau 2011 m. Pagal savo pažeidžiamumų kaupimo savo reikmėms strategiją nusprendė jos neatskleisti Microsoft, kad būtų galima ištaisyti problemą. Tada NSA sukūrė šios problemos išnaudojimą, kurį pavadino „EternalBlue“. „EternalBlue“ gali suteikti visišką pažeidžiamo kompiuterio kontrolę, nes suteikia administratoriaus lygio savavališko kodo vykdymą nereikalaujant vartotojo sąveikos.

Šešėlių brokeriai

Kažkuriuo metu, iki 2016 m. rugpjūčio mėn., NSA įsilaužė grupė, pasivadinusi „Šešėlių brokeriais“, kuri, kaip manoma, yra Rusijos valstybės remiama programišių grupė. „Shadow Brokers“ gavo prieigą prie daugybės duomenų ir įsilaužimo įrankių. Iš pradžių jie bandė juos parduoti aukcione ir parduoti už pinigus, bet sulaukė mažai palūkanų.

Patarimas: „valstybės remiama įsilaužimo grupė“ yra vienas ar daugiau įsilaužėlių, veikiančių gavus aiškų vyriausybės sutikimą, paramą ir nurodymus arba oficialioms vyriausybės puolančioms kibernetinėms grupėms. Bet kuris variantas rodo, kad grupės yra labai gerai kvalifikuotos, tikslingos ir apgalvotos. 

Supratusi, kad jų įrankiai buvo pažeisti, NSA informavo „Microsoft“ apie pažeidžiamumą, kad būtų galima sukurti pataisą. Iš pradžių planuota išleisti 2017 m. vasario mėn., pleistras buvo perkeltas į kovo mėnesį, siekiant užtikrinti, kad problemos būtų tinkamai ištaisytos. 2017 m. kovo 14 d. „Microsoft“ paskelbė naujinimus, kuriuose „EternalBlue“ pažeidžiamumas išsamiai aprašytas saugos biuletenyje MS17-010, skirtas „Windows Vista“, 7, 8.1, 10, „Server 2008“, „Server 2012“ ir „Server 2016“.

Po mėnesio, balandžio 14 d., „The Shadow Brokers“ paskelbė išnaudojimą kartu su daugybe kitų išnaudojimų ir detalių. Deja, nepaisant to, kad pataisos buvo prieinamos mėnesį iki išnaudojimo paskelbimo, daugelis sistemų neįdiegė pataisų ir liko pažeidžiamos.

EternalBlue naudojimas

Praėjus vos mėnesiui po išnaudojimų paskelbimo, 2017 m. gegužės 12 d. „Wannacry“ išpirkos reikalaujantis kirminas buvo paleistas naudojant „EternalBlue“ išnaudojimą, siekiant išplisti į kuo daugiau sistemų. Kitą dieną „Microsoft“ išleido nepalaikomų „Windows“ versijų: XP, 8 ir „Server 2003“ avarinės saugos pataisas.

Patarimas: „Ransomware“ yra kenkėjiškų programų klasė, kuri užšifruoja užkrėstus įrenginius ir laiko iššifravimo raktą, kad gautų išpirką, paprastai Bitcoin ar kitoms kriptovaliutoms. „Kirminas“ yra kenkėjiškų programų klasė, kuri automatiškai plinta į kitus kompiuterius, o ne reikalauja, kad kompiuteriai būtų užkrėsti atskirai.

Anot IBM X-Force , išpirkos reikalaujantis kirminas „Wannacry“ buvo atsakingas už daugiau nei 8 milijardus JAV dolerių žalą 150 šalių, nors išnaudojimas patikimai veikė tik „Windows 7“ ir „Server 2008“. 2018 m. vasario mėn. saugumo tyrinėtojai sėkmingai modifikavo išnaudojimą, galės patikimai dirbti su visomis Windows versijomis nuo Windows 2000.

2019 m. gegužę JAV Baltimorės miestas buvo ištiktas kibernetinės atakos, naudojant „EternalBlue“ išnaudojimą. Nemažai kibernetinio saugumo ekspertų pažymėjo, kad šios situacijos buvo visiškai išvengta, nes pataisos tuo metu buvo prieinamos daugiau nei dvejus metus – per laikotarpį, per kurį turėjo būti įdiegtos bent „kritinės saugos pataisos“ su „viešaisiais išnaudojimais“.