stringtranslate.com

Вечносиний

EternalBlue [5] — это программное обеспечение для компьютерного эксплойта , разработанное Агентством национальной безопасности США (АНБ). [6] Оно основано на уязвимости в Microsoft Windows , которая позволяла пользователям получать доступ к любому количеству компьютеров, подключенных к сети . АНБ знало об этой уязвимости, но не раскрывало ее Microsoft в течение нескольких лет, так как планировало использовать ее в качестве защитного механизма от кибератак. В 2017 году АНБ обнаружило, что программное обеспечение было украдено группой хакеров, известных как Shadow Brokers . Microsoft была проинформирована об этом и выпустила обновления безопасности в марте 2017 года, исправляющие уязвимость. Пока это происходило, хакерская группа попыталась продать программное обеспечение с аукциона, но не смогла найти покупателя. Затем 14 апреля 2017 года EternalBlue был публично выпущен. [ необходима цитата ]

12 мая 2017 года компьютерный червь в форме программы-вымогателя , получивший прозвище WannaCry , использовал эксплойт EternalBlue для атаки на компьютеры с ОС Windows, на которых не были установлены последние системные обновления, устраняющие уязвимость. [5] [7] [8] [9] [10] [11] :  1 27 июня 2017 года эксплойт был снова использован для проведения кибератаки NotPetya 2017 года на более уязвимые компьютеры. [12]

Сообщалось также, что эксплойт использовался с марта 2016 года китайской хакерской группой Buckeye (APT3) после того, как они, вероятно, нашли и перепрофилировали программное обеспечение, [11] :  1 а также сообщалось, что он использовался как часть банковского трояна Retefe по крайней мере с 5 сентября 2017 года. [13]

Подробности

EternalBlue использует уязвимость в реализации протокола Server Message Block (SMB) от Microsoft . Эта уязвимость обозначена записью CVE - 2017-0144 [14] [15] в каталоге Common Vulnerabilities and Exposures (CVE). Уязвимость существует из-за того, что сервер SMB версии 1 (SMBv1) в различных версиях Microsoft Windows неправильно обрабатывает специально созданные пакеты от удаленных злоумышленников, позволяя им удаленно выполнять код на целевом компьютере. [16]

АНБ не предупредило Microsoft об уязвимостях и держало их в секрете более пяти лет, прежде чем нарушение заставило его это сделать. Затем агентство предупредило Microsoft, узнав о возможной краже EternalBlue, что позволило компании подготовить исправление программного обеспечения, выпущенное в марте 2017 года, [17] после задержки своего регулярного выпуска исправлений безопасности в феврале 2017 года. [18] Во вторник , 14 марта 2017 года, Microsoft выпустила бюллетень по безопасности MS17-010, [19] в котором подробно описала уязвимость и объявила, что исправления были выпущены для всех версий Windows, которые в то время поддерживались, а именно Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2012 и Windows Server 2016. [ 20] [21]

14 апреля 2017 года Shadow Brokers публично опубликовали код эксплойта EternalBlue, а также несколько других хакерских инструментов от АНБ.

Многие пользователи Windows не установили исправления Microsoft, когда 12 мая 2017 года вирус-вымогатель WannaCry начал использовать уязвимость EternalBlue для своего распространения. [22] [23] На следующий день (13 мая 2017 года) Microsoft выпустила экстренные исправления безопасности для неподдерживаемых Windows XP , Windows 8 и Windows Server 2003. [ 24] [25]

В феврале 2018 года EternalBlue был перенесен на все операционные системы Windows, начиная с Windows 2000, исследователем безопасности RiskSense Шоном Диллоном. EternalChampion и EternalRomance, два других эксплойта, изначально разработанные АНБ и обнародованные The Shadow Brokers , также были перенесены на том же мероприятии. Они были доступны как модули Metasploit с открытым исходным кодом . [26]

В конце 2018 года миллионы систем все еще были уязвимы для EternalBlue. Это привело к многомиллионному ущербу, вызванному, прежде всего, червями-вымогателями. После масштабного воздействия WannaCry , как NotPetya , так и BadRabbit нанесли ущерб на сумму более 1 миллиарда долларов в более чем 65 странах, используя EternalBlue либо как начальный вектор компрометации, либо как метод бокового перемещения. [27]

Кибератака на город Балтимор

В мае 2019 года город Балтимор столкнулся с кибератакой цифровых вымогателей; атака заморозила тысячи компьютеров, отключила электронную почту и нарушила продажи недвижимости, счета за воду, оповещения о состоянии здоровья и многие другие сервисы. Николь Перлрот, пишущая для The New York Times , изначально приписала эту атаку EternalBlue; [28] в мемуарах, опубликованных в феврале 2021 года, Перлрот пояснила, что EternalBlue не несет ответственности за кибератаку в Балтиморе, в то же время критикуя других за указание на «техническую деталь, что в этом конкретном случае атака с целью вымогательства не распространялась с помощью EternalBlue». [29]

С 2012 года четыре главных информационных директора Балтимора были уволены или ушли в отставку; двое ушли, находясь под следствием. [30] Некоторые исследователи безопасности заявили, что ответственность за взлом в Балтиморе лежит на городе, который не обновил свои компьютеры. Консультант по безопасности Роб Грэм написал в твиттере: «Если в организации есть значительное количество машин Windows, которые два года обходились без исправлений, то это вина организации, а не EternalBlue». [31]

Ответственность

После атаки WannaCry компания Microsoft взяла на себя «первую ответственность за решение этих проблем», но раскритиковала правительственные агентства, такие как АНБ и ЦРУ, за накопление уязвимостей вместо их раскрытия, написав, что «эквивалентным сценарием с обычным оружием была бы кража некоторых из ракет «Томагавк» у армии США ». [32] Стратегия накопления не позволила Microsoft узнать об этой ошибке (и впоследствии исправить ее) и, предположительно, о других скрытых ошибках. [32] [33] Однако несколько комментаторов, включая Алекса Абдо из Института первой поправки к Конституции Колумбийского университета , раскритиковали Microsoft за то, что она переложила вину на АНБ, утверждая, что она должна нести ответственность за выпуск дефектного продукта так же, как это мог бы сделать производитель автомобилей. [34] Компанию обвинили в том, что изначально она ограничила выпуск своего исправления EternalBlue только недавними пользователями Windows и клиентами своих контрактов на расширенную поддержку в размере 1000 долларов за устройство, что сделало такие организации, как NHS Великобритании, уязвимыми для атаки WannaCry. Через месяц после первого выпуска исправления компания Microsoft предприняла редкий шаг, сделав его доступным бесплатно для пользователей всех уязвимых версий Windows, начиная с Windows XP. [35]

EternalRocks

EternalRocks или MicroBotMassiveNet — это компьютерный червь , заражающий Microsoft Windows. Он использует семь эксплойтов, разработанных АНБ. [36] Для сравнения, программа -вымогатель WannaCry , заразившая 230 000 компьютеров в мае 2017 года, использует только два эксплойта АНБ, поэтому исследователи считают EternalRocks значительно более опасным. [37] Червь был обнаружен с помощью honeypot . [38]

Инфекция

EternalRocks сначала устанавливает Tor , частную сеть, которая скрывает интернет-активность, чтобы получить доступ к своим скрытым серверам. После короткого 24-часового " инкубационного периода " [36] сервер затем отвечает на запрос вредоносного ПО, загружая и самореплицируясь на " хост " машине.

Вредоносная программа даже называет себя WannaCry, чтобы избежать обнаружения исследователями безопасности. В отличие от WannaCry, EternalRocks не имеет аварийного выключателя и не является программой-вымогателем. [36]

Смотрите также

Ссылки

  1. ^ «Описание угрозы Trojan:Win32/EternalBlue — Microsoft Security Intelligence». www.microsoft.com .
  2. ^ "TrojanDownloader:Win32/Eterock. Описание угрозы - Microsoft Security Intelligence". www.microsoft.com .
  3. ^ "TROJ_ETEROCK.A - Энциклопедия угроз - Trend Micro USA". www.trendmicro.com .
  4. ^ "Win32/Exploit.Equation.EternalSynergy.A | ESET Virusradar". www.virusradar.com .
  5. ^ ab Goodin, Dan (14 апреля 2017 г.). «Компания Shadow Brokers, утекающая из АНБ, только что опубликовала свой самый разрушительный релиз». Ars Technica . стр. 1 . Получено 13 мая 2017 г.
  6. Накашима, Эллен; Тимберг, Крейг (16 мая 2017 г.). «Сотрудники АНБ беспокоились о том дне, когда их мощный хакерский инструмент вырвется на свободу. И вот это произошло». Washington Post . ISSN  0190-8286 . Получено 19 декабря 2017 г.
  7. ^ Fox-Brewster, Thomas (12 мая 2017 г.). «Кибероружие АНБ может быть причиной массовой глобальной вспышки программ-вымогателей». Forbes . стр. 1. Получено 13 мая 2017 г.
  8. ^ Гудин, Дэн (12 мая 2017 г.). «Червь-вымогатель, созданный АНБ, выводит из строя компьютеры по всему миру». Ars Technica . стр. 1 . Получено 13 мая 2017 г.
  9. ^ Гош, Агамони (9 апреля 2017 г.). «Президент Трамп, какого хрена вы творите?» — говорят Shadow Brokers и сбрасывают еще больше хакерских инструментов АНБ». International Business Times UK . Получено 10 апреля 2017 г.
  10. ^ "'NSA malware' выпущено хакерской группой Shadow Brokers". BBC News . 10 апреля 2017 г. Получено 10 апреля 2017 г.
  11. ^ ab Greenberg, Andy (7 мая 2019 г.). «Странное путешествие уязвимости нулевого дня АНБ — в руки нескольких врагов». Wired . Архивировано из оригинала 12 мая 2019 г. Получено 19 августа 2019 г.
  12. ^ Перлрот, Николь; Скотт, Марк; Френкель, Шира (27 июня 2017 г.). «Кибератака на Украине, затем она распространяется по всему миру». The New York Times . стр. 1. Получено 27 июня 2017 г.
  13. ^ "Эксплойт EternalBlue, используемый в кампании банковского трояна Retefe". Threatpost . Получено 26 сентября 2017 г.
  14. ^ "CVE-2017-0144". CVE - Common Vulnerabilities and Exposures . The MITRE Corporation . 9 сентября 2016 г. стр. 1. Получено 28 июня 2017 г.
  15. ^ "Уязвимость удаленного выполнения кода Microsoft Windows SMB Server CVE-2017-0144". SecurityFocus . Symantec . 14 марта 2017 г. стр. 1 . Получено 28 июня 2017 г. .
  16. ^ "Уязвимость CVE-2017-0144 в SMB используется программой-вымогателем WannaCryptor для распространения по локальной сети". ESET North America. Архивировано из оригинала 16 мая 2017 г. Получено 16 мая 2017 г.
  17. ^ "Сотрудники АНБ беспокоились о том дне, когда их мощный хакерский инструмент вырвется на свободу. И вот это произошло". The Washington Post . Получено 25 сентября 2017 г.
  18. Уоррен, Том (15 апреля 2017 г.). «Microsoft уже исправила утечку хаков Windows от АНБ». The Verge . Vox Media . стр. 1 . Получено 25 апреля 2019 г. .
  19. ^ "Microsoft Security Bulletin MS17-010 – Critical". technet.microsoft.com . Получено 13 мая 2017 г. .
  20. ^ Cimpanu, Catalin (13 мая 2017 г.). "Microsoft выпускает исправление для старых версий Windows для защиты от Wana Decrypt0r". Bleeping Computer . Получено 13 мая 2017 г.
  21. ^ "Политика жизненного цикла Windows Vista". Microsoft . Получено 13 мая 2017 г. .
  22. ^ Ньюман, Лили Хей (12 марта 2017 г.). «Эксперты предупреждали о надвигающемся кризисе вирусов-вымогателей». wired.com . стр. 1 . Получено 13 мая 2017 г.
  23. ^ Гудин, Дэн (15 мая 2017 г.). «Wanna Decryptor: червь-вымогатель, созданный АНБ, выключает компьютеры по всему миру». Ars Technica UK . стр. 1. Получено 15 мая 2017 г.
  24. ^ Surur (13 мая 2017 г.). "Microsoft выпускает исправление Wannacrypt для неподдерживаемых Windows XP, Windows 8 и Windows Server 2003" . Получено 13 мая 2017 г. .
  25. ^ Команда MSRC. «Руководство для клиентов по атакам WannaCrypt». microsoft.com . Получено 13 мая 2017 г.
  26. ^ «Эксплойты АНБ перенесены для работы на всех версиях Windows, выпущенных с Windows 2000». www.bleepingcomputer.com . Получено 5 февраля 2018 г. .
  27. ^ «Спустя год после WannaCry, эксплойт EternalBlue стал масштабнее, чем когда-либо». www.bleepingcomputer.com . Получено 20 февраля 2019 г. .
  28. ^ Перлрот, Николь; Шейн, Скотт (25 мая 2019 г.). «В Балтиморе и за его пределами украденный инструмент АНБ сеет хаос». The New York Times .
  29. ^ Перлрот, Николь (9 февраля 2021 г.). Вот как они говорят мне, что мир заканчивается: гонка вооружений в области кибероружия . Bloomsbury.
  30. Галлахер, Шон (28 мая 2019 г.). «Вечно синий: руководители Балтимора обвиняют АНБ в атаке с использованием программ-вымогателей». Ars Technica .
  31. ^ Ректор, Ян Дункан, Кевин (26 мая 2019 г.). «Политические лидеры Балтимора ищут брифинги после сообщения о том, что инструмент АНБ использовался при атаке с целью вымогательства». baltimoresun.com .{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
  32. ^ ab «Необходимость срочных коллективных действий для обеспечения безопасности людей в Интернете: уроки кибератаки прошлой недели — Microsoft о проблемах». Microsoft о проблемах . 14 мая 2017 г. Получено 28 июня 2017 г.
  33. ^ Титкомб, Джеймс (15 мая 2017 г.). «Microsoft критикует правительство США за глобальную кибератаку». The Telegraph . стр. 1. Получено 28 июня 2017 г.
  34. ^ Басс, Дина (16 мая 2017 г.). «Microsoft совершила ошибку из-за вируса-вымогателя, переложив вину на АНБ». Bloomberg News . Получено 11 марта 2022 г.
  35. Уотерс, Ричард; Кухлер, Ханна (17 мая 2017 г.). «Microsoft задержала бесплатный патч, который мог бы замедлить WannaCry». Financial Times . Получено 11 марта 2022 г. .
  36. ^ abc «Новый червь SMB использует семь хакерских инструментов АНБ. WannaCry использовал только два».
  37. ^ "Недавно выявленный вирус-вымогатель 'EternalRocks' опаснее, чем 'WannaCry' - Tech2". Tech2 . 22 мая 2017 г. Архивировано из оригинала 4 июня 2017 г. Получено 25 мая 2017 г.
  38. ^ "Мирослав Штампар в Twitter". Twitter . Получено 30 мая 2017 г. .

Дальнейшее чтение

Внешние ссылки