Kaj je EternalBlue?

»EternalBlue« je ime za izkoriščanje, ki ga je razvil NSA za ranljivost v SMBv1, ki je bila prisotna v vseh operacijskih sistemih Windows med Windows 95 in Windows 10. Server Message Block različice 1 ali SMBv1 je komunikacijski protokol, ki se uporablja za souporabo dostopa do datotek, tiskalnikov in serijskih vrat prek omrežja.

Namig: NSA je bila prej opredeljena kot akter groženj »Equation Group«, preden so bili ta in drugi podvigi in dejavnost povezani z njimi.

NSA je ranljivost v protokolu za mala in srednja podjetja odkrila vsaj že leta 2011. V okviru svoje strategije kopičenja ranljivosti za lastno uporabo se je odločila, da je ne bo razkrila Microsoftu, da bi težavo lahko popravili. NSA je nato razvila izkoriščanje za vprašanje, ki so ga poimenovali EternalBlue. EternalBlue je sposoben zagotoviti popoln nadzor nad ranljivim računalnikom, saj omogoča izvajanje poljubne kode na ravni skrbnika, ne da bi zahteval interakcijo uporabnika.

Posredniki v senci

Na neki točki, pred avgustom 2016, je NSA vdrla skupina, ki se imenuje »The Shadow Brokers«, za katero se domneva, da je hekerska skupina, ki jo sponzorira ruska država. Shadow Brokers so pridobili dostop do velike zaloge podatkov in orodij za vdiranje. Sprva so jih poskušali prodati na dražbi in jih prodati za denar, vendar so prejeli malo zanimanja.

Nasvet: »Skupina za hekerje, ki jo sponzorira država« je eden ali več hekerjev, ki delujejo bodisi z izrecnim soglasjem, podporo in navodili vlade bodisi za uradne vladne ofenzivne kibernetske skupine. Katera koli možnost kaže, da so skupine zelo dobro usposobljene, ciljno usmerjene in premišljene pri svojih dejanjih. 

Potem ko je ugotovil, da so njihova orodja ogrožena, je NSA obvestil Microsoft o podrobnostih ranljivosti, da bi lahko razvili popravek. Popravek, ki je bil prvotno načrtovan za izdajo februarja 2017, je bil prestavljen na marec, da bi zagotovili, da so bile težave pravilno odpravljene. 14. marca 2017 je Microsoft objavil posodobitve, pri čemer je ranljivost EternalBlue podrobno opisana v varnostnem biltenu MS17-010 za Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 in Server 2016.

Mesec dni pozneje, 14. aprila, so The Shadow Brokers objavili izkoriščanje, skupaj z desetinami drugih podvigov in podrobnosti. Na žalost, kljub temu, da so bili popravki na voljo mesec dni pred objavo izkoriščanja, mnogi sistemi niso namestili popravkov in so ostali ranljivi.

Uporaba EternalBlue

Slabo mesec dni po objavi podvigov je bil 12. maja 2017 zagnan črv »Wannacry« z izkoriščanjem EternalBlue, da se razširi na čim več sistemov. Naslednji dan je Microsoft izdal nujne varnostne popravke za nepodprte različice sistema Windows: XP, 8 in Server 2003.

Nasvet: »Ransomware« je razred zlonamerne programske opreme, ki šifrira okužene naprave in nato zadrži ključ za dešifriranje za odkupnino, običajno za Bitcoin ali druge kriptovalute. »Črv« je razred zlonamerne programske opreme, ki se samodejno širi na druge računalnike, namesto da zahteva posamezno okužbo računalnikov.

Po podatkih IBM X-Force je bil črv izsiljevalske programske opreme "Wannacry" odgovoren za več kot 8 milijard ameriških dolarjev škode v 150 državah, čeprav je izkoriščanje zanesljivo delovalo samo v operacijskih sistemih Windows 7 in Server 2008. Februarja 2018 so varnostni raziskovalci uspešno spremenili izkoriščanje v lahko zanesljivo deluje v vseh različicah sistema Windows od Windows 2000 naprej.

Maja 2019 je ameriško mesto Baltimore prizadel kibernetski napad z uporabo izkoriščanja EternalBlue. Številni strokovnjaki za kibernetsko varnost so poudarili, da je to situacijo v celoti mogoče preprečiti, saj so bili popravki takrat na voljo več kot dve leti, v časovnem obdobju, v katerem bi morali biti nameščeni vsaj »kritične varnostne popravke« z »javnimi izkoriščanji«.