EternalBlue คืออะไร?

“EternalBlue” เป็นชื่อสำหรับ NSA ที่รั่วไหลซึ่งพัฒนาช่องโหว่สำหรับช่องโหว่ใน SMBv1 ที่มีอยู่ในระบบปฏิบัติการ Windows ทั้งหมดระหว่าง Windows 95 และ Windows 10 Server Message Block เวอร์ชัน 1 หรือ SMBv1 เป็นโปรโตคอลการสื่อสารที่ใช้เพื่อแชร์การเข้าถึง ไปยังไฟล์ เครื่องพิมพ์ และพอร์ตอนุกรมบนเครือข่าย

เคล็ดลับ: ก่อนหน้านี้ NSA ถูกระบุว่าเป็นผู้คุกคาม "กลุ่มสมการ" ก่อนสิ่งนี้และการหาประโยชน์และกิจกรรมอื่นๆ เชื่อมโยงกับพวกเขา

NSA ระบุช่องโหว่ในโปรโตคอล SMB อย่างน้อยตั้งแต่ต้นปี 2011 ภายใต้กลยุทธ์ในการจัดเก็บช่องโหว่เพื่อใช้งานเอง เลือกที่จะไม่เปิดเผยต่อ Microsoft เพื่อให้สามารถแก้ไขปัญหาได้ จากนั้น NSA ได้พัฒนาช่องโหว่สำหรับปัญหาที่เรียกว่า EternalBlue EternalBlue สามารถให้สิทธิ์ในการควบคุมคอมพิวเตอร์ที่มีช่องโหว่ได้อย่างสมบูรณ์ เนื่องจากอนุญาตให้มีการเรียกใช้รหัสโดยอำเภอใจระดับผู้ดูแลระบบโดยไม่ต้องมีการโต้ตอบกับผู้ใช้

The Shadow Brokers

เมื่อถึงจุดหนึ่ง ก่อนเดือนสิงหาคม 2016 NSA ถูกแฮ็กโดยกลุ่มที่เรียกตัวเองว่า "The Shadow Brokers" ซึ่งเชื่อว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐรัสเซีย Shadow Brokers เข้าถึงข้อมูลและเครื่องมือแฮ็คจำนวนมาก ตอนแรกพวกเขาพยายามประมูลและขายเพื่อเงิน แต่ได้รับความสนใจเพียงเล็กน้อย

เคล็ดลับ: “กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ” คือแฮ็กเกอร์ตั้งแต่หนึ่งรายขึ้นไปที่ปฏิบัติการโดยได้รับความยินยอมอย่างชัดแจ้งจากรัฐบาล การสนับสนุน และทิศทาง หรือสำหรับกลุ่มไซเบอร์ที่น่ารังเกียจของรัฐบาล ตัวเลือกใดตัวเลือกหนึ่งบ่งชี้ว่ากลุ่มมีคุณสมบัติครบถ้วน ตรงเป้าหมาย และตั้งใจในการดำเนินการ 

หลังจากที่เข้าใจว่าเครื่องมือของพวกเขาถูกบุกรุก NSA ได้แจ้งให้ Microsoft ทราบถึงรายละเอียดของช่องโหว่ดังกล่าว เพื่อให้สามารถพัฒนาโปรแกรมแก้ไขได้ เริ่มแรกกำหนดวางจำหน่ายในเดือนกุมภาพันธ์ 2560 แพตช์ถูกเลื่อนไปในเดือนมีนาคมเพื่อให้แน่ใจว่าปัญหาได้รับการแก้ไขอย่างถูกต้อง ในวันที่ 14 มีนาคม 2017 Microsoft ได้เผยแพร่การอัปเดต โดยมีรายละเอียดช่องโหว่ EternalBlue ในกระดานข่าวความปลอดภัย MS17-010สำหรับ Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 และ Server 2016

หนึ่งเดือนต่อมาในวันที่ 14 เมษายน The Shadow Brokers ได้เผยแพร่ช่องโหว่นี้ พร้อมกับการหาประโยชน์และรายละเอียดอื่นๆ อีกหลายสิบรายการ น่าเสียดายที่แม้แพตช์จะพร้อมใช้งานเป็นเวลาหนึ่งเดือนก่อนที่จะเผยแพร่ช่องโหว่ ระบบจำนวนมากไม่ได้ติดตั้งแพตช์ดังกล่าวและยังคงมีช่องโหว่อยู่

การใช้ EternalBlue

ไม่ถึงหนึ่งเดือนหลังจากเผยแพร่ช่องโหว่ เมื่อวันที่ 12 พฤษภาคม 2017 เวิร์มแรนซัมแวร์ “Wannacry” ได้เปิดตัวโดยใช้ช่องโหว่ EternalBlue เพื่อแพร่กระจายตัวเองไปยังระบบต่างๆ ให้ได้มากที่สุด วันรุ่งขึ้น Microsoft ออกแพตช์ความปลอดภัยฉุกเฉินสำหรับ Windows เวอร์ชันที่ไม่รองรับ: XP, 8 และ Server 2003

เคล็ดลับ: “แรนซัมแวร์” เป็นมัลแวร์ประเภทหนึ่งที่เข้ารหัสอุปกรณ์ที่ติดไวรัส แล้วเก็บคีย์ถอดรหัสเพื่อเรียกค่าไถ่ โดยทั่วไปสำหรับ Bitcoin หรือสกุลเงินดิจิทัลอื่นๆ “เวิร์ม” คือกลุ่มของมัลแวร์ที่แพร่กระจายตัวเองไปยังคอมพิวเตอร์เครื่องอื่นโดยอัตโนมัติ แทนที่จะกำหนดให้คอมพิวเตอร์ติดไวรัสทีละเครื่อง

จากข้อมูลของIBM X-Forceเวิร์มแรนซัมแวร์ “Wannacry” ก่อให้เกิดความเสียหายมากกว่า 8 พันล้านดอลลาร์ใน 150 ประเทศใน 150 ประเทศ ถึงแม้ว่าช่องโหว่นี้จะทำงานได้บน Windows 7 และ Server 2008 เท่านั้น ในเดือนกุมภาพันธ์ 2018 นักวิจัยด้านความปลอดภัยได้แก้ไขช่องโหว่ดังกล่าวเป็น สามารถทำงานได้อย่างน่าเชื่อถือกับ Windows ทุกรุ่นตั้งแต่ Windows 2000

ในเดือนพฤษภาคม 2019 เมืองบัลติมอร์ของสหรัฐฯ ถูกโจมตีด้วยการโจมตีทางอินเทอร์เน็ตโดยใช้ช่องโหว่ EternalBlue ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จำนวนหนึ่งชี้ให้เห็นว่าสถานการณ์นี้สามารถป้องกันได้ทั้งหมดเนื่องจากมีแพตช์ให้บริการมานานกว่าสองปี ณ จุดนั้น ซึ่งเป็นช่วงเวลาที่ควรติดตั้ง “แพทช์ความปลอดภัยที่สำคัญ” ที่มี “Public Exploits” เป็นอย่างน้อย