stringtranslate.com

ВечныйСиний

EternalBlue [5] — это компьютерный эксплойт , разработанный Агентством национальной безопасности США (АНБ). [6] Оно было основано на уязвимости в сетевом программном обеспечении Microsoft, о которой АНБ знало в течение нескольких лет, но не сообщило Microsoft. Когда в 2017 году АНБ обнаружило, что эксплойт был украден, Microsoft была проинформирована и в марте 2017 года выпустила исправления безопасности. Хакерская группа Shadow Brokers публично выпустила EternalBlue 14 апреля 2017 года.

12 мая 2017 года всемирная программа-вымогатель WannaCry использовала этот эксплойт для атаки на неисправленные компьютеры. [5] [7] [8] [9] [10] [11] :  1 27 июня 2017 г. эксплойт снова был использован для проведения кибератаки NotPetya 2017 г. на большее количество неисправленных компьютеров. [12]

Сообщалось также, что эксплойт использовался с марта 2016 года китайской хакерской группой Buckeye (APT3) после того, как они, вероятно, нашли и перепрофилировали инструмент [11] :  1 , а также сообщалось, что он использовался как часть Банковский троян Retefe по крайней мере с 5 сентября 2017 г. [13]

Подробности

EternalBlue использует уязвимость в реализации Microsoft протокола Server Message Block (SMB). Эта уязвимость обозначена записью CVE — 2017-0144 [14] [15] в каталоге Common Vulnerabilities and Exposures (CVE). Уязвимость существует потому, что сервер SMB версии 1 (SMBv1) в различных версиях Microsoft Windows неправильно обрабатывает специально созданные пакеты от удаленных злоумышленников, позволяя им удаленно выполнять код на целевом компьютере. [16]

АНБ не предупредило Microsoft об уязвимостях и хранило информацию более пяти лет, прежде чем взлом вынудил ее действовать. Затем агентство предупредило Microsoft после того, как узнало о возможной краже EternalBlue, что позволило компании подготовить исправление программного обеспечения, выпущенное в марте 2017 года, [17] после задержки регулярного выпуска исправлений безопасности в феврале 2017 года. [18] Во вторник , 14 марта 2017 г. Microsoft выпустила бюллетень по безопасности MS17-010, [19] , в котором подробно описана уязвимость и объявлено, что исправления были выпущены для всех версий Windows, которые в настоящее время поддерживались на тот момент, а именно для Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows. Сервер 2008 , Windows Server 2012 и Windows Server 2016 . [20] [21]

Shadow Brokers публично опубликовали код эксплойта EternalBlue 14 апреля 2017 года вместе с несколькими другими хакерскими инструментами АНБ.

Многие пользователи Windows не установили исправления Microsoft, когда 12 мая 2017 года атака программы-вымогателя WannaCry начала использовать уязвимость EternalBlue для своего распространения. [22] [23] На следующий день (13 мая 2017 г.) Microsoft выпустила аварийные исправления безопасности для неподдерживаемых Windows XP , Windows 8 и Windows Server 2003 . [24] [25]

В феврале 2018 года EternalBlue был портирован на все операционные системы Windows, начиная с Windows 2000, исследователем безопасности RiskSense Шоном Диллоном. EternalChampion и EternalRomance, два других эксплойта, первоначально разработанные АНБ и опубликованные The Shadow Brokers , также были портированы на том же мероприятии. Они были доступны в виде модулей Metasploit с открытым исходным кодом . [26]

В конце 2018 года миллионы систем все еще были уязвимы для EternalBlue. Это привело к убыткам в миллионы долларов, главным образом, от червей-вымогателей. После массового воздействия WannaCry и NotPetya , и BadRabbit нанесли ущерб на сумму более 1 миллиарда долларов в более чем 65 странах, используя EternalBlue либо в качестве первоначального вектора компрометации, либо в качестве метода бокового движения. [27]

Кибератака на город Балтимор

В мае 2019 года город Балтимор подвергся кибератаке со стороны цифровых вымогателей; В результате атаки были заблокированы тысячи компьютеров, отключена электронная почта и нарушены продажи недвижимости, счета за воду, оповещения о состоянии здоровья и многие другие услуги. Николь Перлрот, пишущая для New York Times , первоначально приписала это нападение EternalBlue; [28] в мемуарах, опубликованных в феврале 2021 года, Перлрот пояснил, что EternalBlue не несет ответственности за кибератаку в Балтиморе, одновременно раскритиковав других за указание на «технические детали, заключающиеся в том, что в данном конкретном случае атака с помощью программы-вымогателя не распространилась с помощью EternalBlue». [29]

С 2012 года четыре директора по информационным технологиям Балтимора были уволены или ушли в отставку; двое ушли, пока находились под следствием. [30] Некоторые исследователи безопасности заявили, что ответственность за взлом в Балтиморе лежит на городе за то, что он не обновил свои компьютеры. Консультант по безопасности Роб Грэм написал в твиттере: «Если в организации имеется значительное количество компьютеров с Windows, на которых в течение двух лет не использовались исправления, то это вина самой организации, а не EternalBlue». [31]

Ответственность

По мнению Microsoft, ответственность несет АНБ США из-за его противоречивой стратегии не раскрытия, а накопления уязвимостей. Эта стратегия не позволяла Microsoft узнать об этой ошибке и, предположительно, о других скрытых ошибках (и впоследствии исправить их). [32] [33] Однако несколько комментаторов, в том числе Алекс Абдо из Института Первой поправки Найта при Колумбийском университете , раскритиковали Microsoft за то, что она переложила вину на АНБ, утверждая, что оно должно нести ответственность за выпуск дефектного продукта так же, как автомобиль производитель может быть. [34] Компанию обвинили в том, что она изначально ограничила выпуск своего патча EternalBlue недавними пользователями Windows и клиентами своих контрактов на расширенную поддержку стоимостью 1000 долларов за устройство, что сделало такие организации, как Национальная служба здравоохранения Великобритании, уязвимыми для атаки WannaCry. Через месяц после первого выпуска патча Microsoft предприняла редкий шаг, сделав его бесплатным для пользователей всех уязвимых выпусков Windows, начиная с Windows XP. [35]

ВечныеСкалы

EternalRocks или MicroBotMassiveNetкомпьютерный червь , заражающий Microsoft Windows. Он использует семь эксплойтов, разработанных АНБ. [36] Для сравнения: программа -вымогатель WannaCry , заразившая 230 000 компьютеров в мае 2017 года, использует только два эксплойта АНБ, что заставляет исследователей полагать, что EternalRocks значительно более опасен. [37] Червь был обнаружен через приманку . [38]

Инфекционное заболевание

EternalRocks сначала устанавливает Tor , частную сеть, скрывающую интернет-активность, для доступа к своим скрытым серверам. После короткого 24-часового « инкубационного периода » [36] сервер отвечает на запрос вредоносной программы, загружая и самореплицируясь на « хостовой » машине.

Вредоносная программа даже называет себя WannaCry, чтобы избежать обнаружения исследователями безопасности. В отличие от WannaCry, EternalRocks не имеет аварийного отключения и не является программой-вымогателем. [36]

Смотрите также

Рекомендации

  1. ^ «Описание угрозы Trojan:Win32/EternalBlue — Microsoft Security Intelligence» . www.microsoft.com .
  2. ^ «TrojanDownloader:Win32/Eterock.Описание угрозы — Microsoft Security Intelligence» . www.microsoft.com .
  3. ^ «TROJ_ETEROCK.A — Энциклопедия угроз — Trend Micro USA» . www.trendmicro.com .
  4. ^ "Win32/Exploit.Equation.EternalSynergy.A | ESET Virusradar" . www.virusradar.com .
  5. ↑ Аб Гудин, Дэн (14 апреля 2017 г.). «Shadow Brokers, утечка информации из АНБ, только что опубликовала свой самый разрушительный релиз». Арс Техника . п. 1 . Проверено 13 мая 2017 г.
  6. ^ Накашима, Эллен; Тимберг, Крейг (16 мая 2017 г.). «Чиновники АНБ беспокоились о том дне, когда его мощный хакерский инструмент станет свободным. И так и случилось». Вашингтон Пост . ISSN  0190-8286 . Проверено 19 декабря 2017 г.
  7. Фокс-Брюстер, Томас (12 мая 2017 г.). «Кибероружие АНБ может стоять за массовой глобальной вспышкой программ-вымогателей». Форбс . п. 1 . Проверено 13 мая 2017 г.
  8. Гудин, Дэн (12 мая 2017 г.). «Червь-вымогатель, созданный АНБ, выключает компьютеры по всему миру». Арс Техника . п. 1 . Проверено 13 мая 2017 г.
  9. Гош, Агамони (9 апреля 2017 г.). «Президент Трамп, какого черта ты делаешь?» - говорят Shadow Brokers и выбрасывают еще больше хакерских инструментов АНБ». Интернэшнл Бизнес Таймс, Великобритания . Проверено 10 апреля 2017 г.
  10. ^ «Вредоносное ПО АНБ, выпущенное хакерской группой Shadow Brokers» . Новости BBC . 10 апреля 2017 г. Проверено 10 апреля 2017 г.
  11. ↑ Аб Гринберг, Энди (7 мая 2019 г.). «Странное путешествие нулевого дня АНБ - в руки множества врагов». Проводной . Архивировано из оригинала 12 мая 2019 года . Проверено 19 августа 2019 г.
  12. ^ Перлрот, Николь; Скотт, Марк; Френкель, Шира (27 июня 2017 г.). «Кибератака поразила Украину, а затем распространилась по всему миру». Нью-Йорк Таймс . п. 1 . Проверено 27 июня 2017 г.
  13. ^ «Эксплойт EternalBlue, использованный в кампании банковского трояна Retefe» . Угрозапост . Проверено 26 сентября 2017 г.
  14. ^ «CVE-2017-0144». CVE — Распространенные уязвимости и риски . Корпорация МИТЕР . 9 сентября 2016. с. 1 . Проверено 28 июня 2017 г.
  15. ^ «Уязвимость сервера Microsoft Windows SMB CVE-2017-0144, связанная с удаленным выполнением кода» . БезопасностьФокус . Симантек . 14 марта 2017. с. 1 . Проверено 28 июня 2017 г.
  16. ^ «Уязвимость CVE-2017-0144 в SMB, используемая программой-вымогателем WannaCryptor для распространения по локальной сети» . ESET Северная Америка. Архивировано из оригинала 16 мая 2017 года . Проверено 16 мая 2017 г.
  17. ^ «Чиновники АНБ беспокоились о том дне, когда его мощный хакерский инструмент выйдет из строя. И так и случилось» . Вашингтон Пост . Проверено 25 сентября 2017 г.
  18. Рианна Уоррен, Том (15 апреля 2017 г.). «Microsoft уже исправила утечку информации, взломанную АНБ на Windows». Грань . Вокс Медиа . п. 1 . Проверено 25 апреля 2019 г.
  19. ^ «Бюллетень по безопасности Microsoft MS17-010 – критично» . technet.microsoft.com . Проверено 13 мая 2017 г.
  20. Чимпану, Каталин (13 мая 2017 г.). «Microsoft выпускает исправление для старых версий Windows для защиты от Wana Decrypt0r». Пипящий компьютер . Проверено 13 мая 2017 г.
  21. ^ «Политика жизненного цикла Windows Vista» . Майкрософт . Проверено 13 мая 2017 г.
  22. Ньюман, Лили Хэй (12 марта 2017 г.). «Эксперты по вымогательству, о которых предупреждали эксперты, уже здесь» . проводной.com . п. 1 . Проверено 13 мая 2017 г.
  23. Гудин, Дэн (15 мая 2017 г.). «Wanna Decryptor: червь-вымогатель, созданный АНБ, выключающий компьютеры по всему миру». Арс Техника Великобритания . п. 1 . Проверено 15 мая 2017 г.
  24. Сурур (13 мая 2017 г.). «Microsoft выпустила патч Wannacrypt для неподдерживаемых Windows XP, Windows 8 и Windows Server 2003» . Проверено 13 мая 2017 г.
  25. ^ Команда MSRC. «Руководство для клиентов по атакам WannaCrypt». microsoft.com . Проверено 13 мая 2017 г.
  26. ^ «Эксплойты АНБ перенесены для работы во всех версиях Windows, выпущенных после Windows 2000» . www.bleepingcomputer.com . Проверено 5 февраля 2018 г.
  27. ^ «Через год после WannaCry эксплойт EternalBlue стал больше, чем когда-либо» . www.bleepingcomputer.com . Проверено 20 февраля 2019 г.
  28. ^ Перлрот, Николь; Шейн, Скотт (25 мая 2019 г.). «В Балтиморе и за его пределами украденный инструмент АНБ сеет хаос». Нью-Йорк Таймс .
  29. Перлрот, Николь (9 февраля 2021 г.). Вот как мне говорят, что наступает конец света: гонка кибероружия . Блумсбери.
  30. Галлахер, Шон (28 мая 2019 г.). «Вечно синий: лидеры города Балтимор обвиняют АНБ в атаке с помощью программы-вымогателя». Арс Техника .
  31. ^ Ректор Ян Дункан, Кевин. «Политические лидеры Балтимора требуют брифингов после сообщения об использовании инструмента АНБ для атаки с помощью программы-вымогателя». baltimoresun.com .{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
  32. ^ «Необходимость срочных коллективных действий для обеспечения безопасности людей в Интернете: уроки кибератаки на прошлой неделе — Microsoft о проблемах» . Microsoft о проблемах . 14 мая 2017 г. Проверено 28 июня 2017 г.
  33. Титкомб, Джеймс (15 мая 2017 г.). «Microsoft критикует правительство США за глобальную кибератаку». Телеграф . п. 1 . Проверено 28 июня 2017 г.
  34. Басс, Дина (16 мая 2017 г.). «Microsoft обвинила программу-вымогатель, переложив вину на АНБ». Новости Блумберга . Проверено 11 марта 2022 г.
  35. ^ Уотерс, Ричард; Кюхлер, Ханна (17 мая 2017 г.). «Microsoft отложила выпуск бесплатного патча, который мог замедлить WannaCry». Файнэншл Таймс . Проверено 11 марта 2022 г.
  36. ^ abc «Новый червь для малого и среднего бизнеса использует семь хакерских инструментов АНБ. WannaCry использовал только два».
  37. ^ «Недавно обнаруженная программа-вымогатель EternalRocks более опасна, чем WannaCry - Tech2» . Тех2 . 22 мая 2017 года . Проверено 25 мая 2017 г.
  38. ^ "Мирослав Стампар в Твиттере" . Твиттер . Проверено 30 мая 2017 г.

дальнейшее чтение

Внешние ссылки