Čo je EternalBlue?

„EternalBlue“ je názov pre uniknutú zneužiteľnosť vyvinutú NSA pre zraniteľnosť v SMBv1, ktorá bola prítomná vo všetkých operačných systémoch Windows medzi Windows 95 a Windows 10. Server Message Block verzia 1 alebo SMBv1 je komunikačný protokol, ktorý sa používa na zdieľanie prístupu do súborov, tlačiarní a sériových portov cez sieť.

Tip: NSA bola predtým identifikovaná ako aktér hrozieb „Equation Group“ predtým, ako s ňou boli spojené toto a ďalšie exploity a aktivity.

NSA identifikovala zraniteľnosť v protokole SMB prinajmenšom už v roku 2011. V rámci svojej stratégie hromadenia zraniteľností pre vlastnú potrebu sa rozhodla nezverejniť to Microsoftu, aby sa problém mohol opraviť. NSA potom vyvinula exploit pre problém, ktorý nazvali EternalBlue. EternalBlue je schopný poskytnúť úplnú kontrolu nad zraniteľným počítačom, pretože umožňuje spúšťanie ľubovoľného kódu na úrovni správcu bez potreby interakcie používateľa.

Shadow Brokers

V určitom okamihu, pred augustom 2016, bola NSA napadnutá skupinou, ktorá si hovorila „The Shadow Brokers“, o ktorej sa predpokladá, že ide o hackerskú skupinu podporovanú ruským štátom. Shadow Brokers získali prístup k veľkému množstvu údajov a hackerských nástrojov. Spočiatku sa ich pokúšali vydražiť a predať za peniaze, ale dostali malý záujem.

Tip: „Štátom sponzorovaná hackerská skupina“ je jeden alebo viac hackerov pôsobiacich buď s výslovným súhlasom, podporou a vedením vlády, alebo pre oficiálne vládne útočné kybernetické skupiny. Každá z možností naznačuje, že skupiny sú veľmi dobre kvalifikované, cielené a premyslené vo svojich krokoch. 

Po tom, čo NSA pochopila, že ich nástroje boli ohrozené, informovala Microsoft o podrobnostiach o zraniteľnosti, aby bolo možné vyvinúť opravu. Pôvodne naplánované vydanie vo februári 2017, oprava bola posunutá na marec, aby sa zabezpečilo správne vyriešenie problémov. Dňa 14. marca 2017 spoločnosť Microsoft zverejnila aktualizácie, pričom zraniteľnosť EternalBlue je podrobne popísaná v bulletine zabezpečenia MS17-010 pre Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 a Server 2016.

O mesiac neskôr, 14. apríla, The Shadow Brokers zverejnili exploit spolu s desiatkami ďalších exploitov a detailov. Bohužiaľ, napriek tomu, že záplaty boli dostupné mesiac pred zverejnením exploitov, mnohé systémy si záplaty nenainštalovali a zostali zraniteľné.

Použitie EternalBlue

Necelý mesiac po zverejnení exploitov bol 12. mája 2017 spustený ransomvérový červ „Wannacry“ využívajúci exploit EternalBlue, aby sa rozšíril do čo najväčšieho počtu systémov. Nasledujúci deň spoločnosť Microsoft vydala núdzové bezpečnostné záplaty pre nepodporované verzie systému Windows: XP, 8 a Server 2003.

Tip: „Ransomware“ je trieda malvéru, ktorý zašifruje infikované zariadenia a následne zadrží dešifrovací kľúč na výkupné, zvyčajne pre bitcoiny alebo iné kryptomeny. „Červ“ je trieda škodlivého softvéru, ktorý sa automaticky šíri do iných počítačov a nevyžaduje, aby boli počítače jednotlivo infikované.

Podľa IBM X-Force bol ransomvérový červ „Wannacry“ zodpovedný za škody vo výške viac ako 8 miliárd USD v 150 krajinách, aj keď tento exploit spoľahlivo fungoval iba na Windows 7 a Server 2008. Vo februári 2018 výskumníci v oblasti bezpečnosti úspešne upravili exploit na byť schopný spoľahlivo pracovať na všetkých verziách systému Windows od systému Windows 2000.

V máji 2019 zasiahol americké mesto Baltimore kybernetický útok využívajúci exploit EternalBlue. Viacerí experti na kybernetickú bezpečnosť poukázali na to, že tejto situácii sa dalo úplne predísť, keďže v tom čase boli záplaty dostupné viac ako dva roky, čo je časové obdobie, počas ktorého by mali byť nainštalované aspoň „kritické bezpečnostné záplaty“ s „verejnými zneužitiami“.