Що таке EternalBlue?

«EternalBlue» — це назва витоку експлойту, розробленого АНБ для вразливості в SMBv1, яка була присутня в усіх операційних системах Windows між Windows 95 і Windows 10. Server Message Block версії 1, або SMBv1, — це протокол зв’язку, який використовується для спільного доступу. до файлів, принтерів і послідовних портів через мережу.

Порада: АНБ раніше було ідентифіковано як загроза «Equation Group», перш ніж ця та інші дії та діяльність були пов’язані з ними.

АНБ виявило вразливість у протоколі SMB принаймні ще в 2011 році. Відповідно до своєї стратегії накопичення вразливостей для власного використання, вирішило не розкривати її Microsoft, щоб проблему можна було виправити. Потім АНБ розробило експлойт для проблеми, яку вони назвали EternalBlue. EternalBlue здатний надати повний контроль над вразливим комп’ютером, оскільки він надає виконання довільного коду на рівні адміністратора, не вимагаючи взаємодії з користувачем.

Тіньові брокери

У якийсь момент, до серпня 2016 року, АНБ було зламано групою, яка називала себе «Тіньовими брокерами», яка, як вважають, є хакерською групою, що фінансується державою. Shadow Brokers отримали доступ до великої кількості даних та інструментів злому. Спочатку вони намагалися продати їх з аукціону та продати за гроші, але не отримали мало інтересу.

Порада. «Спонсорована державою хакерська група» — це один або кілька хакерів, які діють або з явної згоди, підтримки та керівництва уряду, або для офіційних урядових наступальних кібер-груп. Будь-який варіант вказує на те, що групи дуже добре кваліфіковані, цілеспрямовані та обдумані у своїх діях. 

Зрозумівши, що їхні інструменти зламано, АНБ повідомило Microsoft про деталі вразливостей, щоб можна було розробити виправлення. Вихід спочатку запланований на лютий 2017 року, але виправлення було перенесено на березень, щоб переконатися, що проблеми були правильно виправлені. 14 березня 2017 року Microsoft опублікувала оновлення, де вразливість EternalBlue детально описана в бюлетені з безпеки MS17-010 для Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 і Server 2016.

Через місяць, 14 квітня, The Shadow Brokers опублікували експлойт разом із десятками інших експлойтів та деталей. На жаль, незважаючи на те, що виправлення були доступні за місяць до публікації експлойтів, багато систем не встановили виправлення і залишалися вразливими.

Використання EternalBlue

Трохи менше ніж через місяць після публікації експлойтів, 12 травня 2017 року, хробак-вимагач «Wannacry» був запущений за допомогою експлойту EternalBlue, щоб поширитися на якомога більше систем. Наступного дня Microsoft випустила екстрені виправлення безпеки для непідтримуваних версій Windows: XP, 8 і Server 2003.

Порада: «Програми-вимагачі» — це клас шкідливих програм, які шифрують заражені пристрої, а потім зберігають ключ дешифрування для викупу, як правило, для біткойн або інших криптовалют. «Черв’як» — це клас зловмисного програмного забезпечення, яке автоматично поширюється на інші комп’ютери, а не вимагає окремого зараження комп’ютерів.

За даними IBM X-Force, хробак Wannacry завдав збитків на суму понад 8 мільярдів доларів США в 150 країнах, хоча експлойт надійно працював лише на Windows 7 і Server 2008. У лютому 2018 року дослідники безпеки успішно модифікували експлойт до мати можливість надійно працювати на всіх версіях Windows, починаючи з Windows 2000.

У травні 2019 року американське місто Балтімор зазнало кібератаки з використанням експлойту EternalBlue. Ряд експертів з кібербезпеки зазначили, що цю ситуацію цілком можна запобігти, оскільки на той момент виправлення були доступні більше двох років, протягом якого мали бути встановлені принаймні «Критичні виправлення безпеки» з «Public Exploits».