EternalBlue [5] — это компьютерный эксплойт , разработанный Агентством национальной безопасности США (АНБ). [6] Оно было основано на уязвимости в сетевом программном обеспечении Microsoft, о которой АНБ знало в течение нескольких лет, но не сообщило Microsoft. Когда в 2017 году АНБ обнаружило, что эксплойт был украден, Microsoft была проинформирована и в марте 2017 года выпустила исправления безопасности. Хакерская группа Shadow Brokers публично выпустила EternalBlue 14 апреля 2017 года.
12 мая 2017 года всемирная программа-вымогатель WannaCry использовала этот эксплойт для атаки на неисправленные компьютеры. [5] [7] [8] [9] [10] [11] : 1 27 июня 2017 г. эксплойт снова был использован для проведения кибератаки NotPetya 2017 г. на большее количество неисправленных компьютеров. [12]
Сообщалось также, что эксплойт использовался с марта 2016 года китайской хакерской группой Buckeye (APT3) после того, как они, вероятно, нашли и перепрофилировали инструмент [11] : 1 , а также сообщалось, что он использовался как часть Банковский троян Retefe по крайней мере с 5 сентября 2017 г. [13]
EternalBlue использует уязвимость в реализации Microsoft протокола Server Message Block (SMB). Эта уязвимость обозначена записью CVE — 2017-0144 [14] [15] в каталоге Common Vulnerabilities and Exposures (CVE). Уязвимость существует потому, что сервер SMB версии 1 (SMBv1) в различных версиях Microsoft Windows неправильно обрабатывает специально созданные пакеты от удаленных злоумышленников, позволяя им удаленно выполнять код на целевом компьютере. [16]
АНБ не предупредило Microsoft об уязвимостях и хранило информацию более пяти лет, прежде чем взлом вынудил ее действовать. Затем агентство предупредило Microsoft после того, как узнало о возможной краже EternalBlue, что позволило компании подготовить исправление программного обеспечения, выпущенное в марте 2017 года, [17] после задержки регулярного выпуска исправлений безопасности в феврале 2017 года. [18] Во вторник , 14 марта 2017 г. Microsoft выпустила бюллетень по безопасности MS17-010, [19] , в котором подробно описана уязвимость и объявлено, что исправления были выпущены для всех версий Windows, которые в настоящее время поддерживались на тот момент, а именно для Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows. Сервер 2008 , Windows Server 2012 и Windows Server 2016 . [20] [21]
Shadow Brokers публично опубликовали код эксплойта EternalBlue 14 апреля 2017 года вместе с несколькими другими хакерскими инструментами АНБ.
Многие пользователи Windows не установили исправления Microsoft, когда 12 мая 2017 года атака программы-вымогателя WannaCry начала использовать уязвимость EternalBlue для своего распространения. [22] [23] На следующий день (13 мая 2017 г.) Microsoft выпустила аварийные исправления безопасности для неподдерживаемых Windows XP , Windows 8 и Windows Server 2003 . [24] [25]
В феврале 2018 года EternalBlue был портирован на все операционные системы Windows, начиная с Windows 2000, исследователем безопасности RiskSense Шоном Диллоном. EternalChampion и EternalRomance, два других эксплойта, первоначально разработанные АНБ и опубликованные The Shadow Brokers , также были портированы на том же мероприятии. Они были доступны в виде модулей Metasploit с открытым исходным кодом . [26]
В конце 2018 года миллионы систем все еще были уязвимы для EternalBlue. Это привело к убыткам в миллионы долларов, главным образом, от червей-вымогателей. После массового воздействия WannaCry и NotPetya , и BadRabbit нанесли ущерб на сумму более 1 миллиарда долларов в более чем 65 странах, используя EternalBlue либо в качестве первоначального вектора компрометации, либо в качестве метода бокового движения. [27]
В мае 2019 года город Балтимор подвергся кибератаке со стороны цифровых вымогателей; В результате атаки были заблокированы тысячи компьютеров, отключена электронная почта и нарушены продажи недвижимости, счета за воду, оповещения о состоянии здоровья и многие другие услуги. Николь Перлрот, пишущая для New York Times , первоначально приписала это нападение EternalBlue; [28] в мемуарах, опубликованных в феврале 2021 года, Перлрот пояснил, что EternalBlue не несет ответственности за кибератаку в Балтиморе, одновременно раскритиковав других за указание на «технические детали, заключающиеся в том, что в данном конкретном случае атака с помощью программы-вымогателя не распространилась с помощью EternalBlue». [29]
С 2012 года четыре директора по информационным технологиям Балтимора были уволены или ушли в отставку; двое ушли, пока находились под следствием. [30] Некоторые исследователи безопасности заявили, что ответственность за взлом в Балтиморе лежит на городе за то, что он не обновил свои компьютеры. Консультант по безопасности Роб Грэм написал в твиттере: «Если в организации имеется значительное количество компьютеров с Windows, на которых в течение двух лет не использовались исправления, то это вина самой организации, а не EternalBlue». [31]
По мнению Microsoft, ответственность несет АНБ США из-за его противоречивой стратегии не раскрытия, а накопления уязвимостей. Эта стратегия не позволяла Microsoft узнать об этой ошибке и, предположительно, о других скрытых ошибках (и впоследствии исправить их). [32] [33] Однако несколько комментаторов, в том числе Алекс Абдо из Института Первой поправки Найта при Колумбийском университете , раскритиковали Microsoft за то, что она переложила вину на АНБ, утверждая, что оно должно нести ответственность за выпуск дефектного продукта так же, как автомобиль производитель может быть. [34] Компанию обвинили в том, что она изначально ограничила выпуск своего патча EternalBlue недавними пользователями Windows и клиентами своих контрактов на расширенную поддержку стоимостью 1000 долларов за устройство, что сделало такие организации, как Национальная служба здравоохранения Великобритании, уязвимыми для атаки WannaCry. Через месяц после первого выпуска патча Microsoft предприняла редкий шаг, сделав его бесплатным для пользователей всех уязвимых выпусков Windows, начиная с Windows XP. [35]
EternalRocks или MicroBotMassiveNet — компьютерный червь , заражающий Microsoft Windows. Он использует семь эксплойтов, разработанных АНБ. [36] Для сравнения: программа -вымогатель WannaCry , заразившая 230 000 компьютеров в мае 2017 года, использует только два эксплойта АНБ, что заставляет исследователей полагать, что EternalRocks значительно более опасен. [37] Червь был обнаружен через приманку . [38]
EternalRocks сначала устанавливает Tor , частную сеть, скрывающую интернет-активность, для доступа к своим скрытым серверам. После короткого 24-часового « инкубационного периода » [36] сервер отвечает на запрос вредоносной программы, загружая и самореплицируясь на « хостовой » машине.
Вредоносная программа даже называет себя WannaCry, чтобы избежать обнаружения исследователями безопасности. В отличие от WannaCry, EternalRocks не имеет аварийного отключения и не является программой-вымогателем. [36]
{{cite web}}
: CS1 maint: несколько имен: список авторов ( ссылка )