Co to jest EternalBlue?

„EternalBlue” to nazwa ujawnionego przez NSA exploita wykorzystującego lukę w zabezpieczeniach SMBv1, która była obecna we wszystkich systemach operacyjnych Windows między Windows 95 a Windows 10. Server Message Block w wersji 1 lub SMBv1 to protokół komunikacyjny używany do współdzielenia dostępu do plików, drukarek i portów szeregowych w sieci.

Wskazówka: NSA była wcześniej identyfikowana jako cyberprzestępca z grupy „Equation Group”, zanim ten i inne exploity i działania zostały z nimi powiązane.

NSA zidentyfikowała lukę w protokole SMB co najmniej w 2011 roku. Zgodnie ze swoją strategią gromadzenia luk na własny użytek, zdecydowała się nie ujawniać jej firmie Microsoft, aby można było załatać problem. Następnie NSA opracowała exploita dla problemu, który nazwali EternalBlue. EternalBlue jest w stanie zapewnić pełną kontrolę nad podatnym komputerem, ponieważ zapewnia wykonanie dowolnego kodu na poziomie administratora bez konieczności interakcji użytkownika.

Handlarze Cieni

W pewnym momencie, przed sierpniem 2016 r., NSA została zhakowana przez grupę nazywającą siebie „The Shadow Brokers”, uważaną za rosyjską grupę hakerską sponsorowaną przez państwo. Handlarze Cieni uzyskali dostęp do ogromnej skarbnicy danych i narzędzi hakerskich. Początkowo próbowali wystawić je na aukcję i sprzedać za pieniądze, ale otrzymali niewielkie zainteresowanie.

Wskazówka: „Grupa hakerska sponsorowana przez państwo” to co najmniej jeden haker działający za wyraźną zgodą, wsparciem i kierunkiem rządu lub na rzecz oficjalnych rządowych, ofensywnych grup cybernetycznych. Każda z opcji wskazuje, że grupy są bardzo dobrze wykwalifikowane, ukierunkowane i celowe w swoich działaniach. 

Po zrozumieniu, że ich narzędzia zostały naruszone, NSA poinformowała Microsoft o szczegółach luk w zabezpieczeniach, aby można było opracować łatę. Początkowo zaplanowana do wydania w lutym 2017 r. poprawka została przesunięta na marzec, aby zapewnić prawidłowe rozwiązanie problemów. 14 marca 2017 r. firma Microsoft opublikowała aktualizacje. Luka EternalBlue została szczegółowo opisana w biuletynie zabezpieczeń MS17-010 dla systemów Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 i Server 2016.

Miesiąc później, 14 kwietnia, The Shadow Brokers opublikowali exploita, wraz z dziesiątkami innych exploitów i szczegółów. Niestety, pomimo dostępności łat przez miesiąc przed opublikowaniem exploitów, wiele systemów nie zainstalowało łat i pozostało podatnych na ataki.

Korzystanie z EternalBlue

Niecały miesiąc po opublikowaniu exploitów, 12 maja 2017 r., robak ransomware „Wannacry” został uruchomiony przy użyciu exploita EternalBlue, aby rozprzestrzenić się na jak najwięcej systemów. Następnego dnia firma Microsoft wydała awaryjne poprawki bezpieczeństwa dla nieobsługiwanych wersji systemu Windows: XP, 8 i Server 2003.

Wskazówka: „Ransomware” to klasa złośliwego oprogramowania, które szyfruje zainfekowane urządzenia, a następnie przechowuje klucz odszyfrowujący w celu uzyskania okupu, zazwyczaj dla Bitcoina lub innych kryptowalut. „Worm” to klasa złośliwego oprogramowania, które automatycznie rozprzestrzenia się na inne komputery, zamiast wymagać indywidualnego zainfekowania komputerów.

Według IBM X-Force, robak ransomware „Wannacry” był odpowiedzialny za ponad 8 miliardów dolarów szkód w 150 krajach, mimo że exploit działał niezawodnie tylko w systemach Windows 7 i Server 2008. W lutym 2018 r. analitycy bezpieczeństwa z powodzeniem zmodyfikowali exploita do móc niezawodnie pracować na wszystkich wersjach systemu Windows od Windows 2000.

W maju 2019 r. amerykańskie miasto Baltimore zostało dotknięte cyberatakiem z wykorzystaniem exploita EternalBlue. Wielu ekspertów ds. cyberbezpieczeństwa zwróciło uwagę, że tej sytuacji można było całkowicie zapobiec, ponieważ łatki były dostępne od ponad dwóch lat, w okresie, w którym powinny były zostać zainstalowane co najmniej „krytyczne łaty bezpieczeństwa” wraz z „wykorzystaniem publicznym”.