EternalBlue

EternalBlue (или ETERNALBLUE^[1], CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 марта 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года^[1]^[2]^[3]^[4]^[5], а также при распространении Petya в июне 2017 года^[6].

Описание уязвимости

Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB)^[7]. Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.^[8]

Компания-разработчик Microsoft подтвердила, что уязвимости подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016^[9]^[10], то есть уязвимость оставалась неисправленной на протяжении по крайней мере 16 лет. Уязвимость была устранена в серии обновлений MS17-010^[11].

Первое публичное использование эксплоита EternalBlue было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней^[12]. 12 мая 2017 года появился шифровальщик WannaCry, использовавший эксплоит EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в Интернете^[13]. Размах атаки был настолько обширен, что побудил Microsoft выпустить обновления к неподдерживаемым ОС Windows XP/Windows Server 2003 и Windows 8^[14].

Примечания

↑ ^1,0 ^1,1 NSA-leaking Shadow Brokers just dumped its most damaging release yet (неопр.). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
↑ Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes. Архивировано 28 июня 2018 года. Дата обращения 13 мая 2017.
↑ An NSA-derived ransomware worm is shutting down computers worldwide (неопр.). Ars Technica. Дата обращения: 13 мая 2017. Архивировано 12 мая 2017 года.
↑ Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools, International Business Times UK (April 9, 2017). Архивировано 14 мая 2017 года. Дата обращения 16 мая 2017.
↑ 'NSA malware' released by Shadow Brokers hacker group (англ.), BBC News (April 10, 2017). Архивировано 23 мая 2017 года. Дата обращения 16 мая 2017.
↑ Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Архивировано 29 июня 2017 года. Дата обращения 28 июня 2017.
↑ Entry for CVE-2017-0144 in CVE catalog Архивировано 30 июня 2017 года.
↑ Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN (неопр.). ESET North America. Дата обращения: 16 мая 2017. Архивировано 16 мая 2017 года.
↑ Cimpanu, Catalin Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r (неопр.). Bleeping Computer (13 May 2017). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
↑ Windows Vista Lifecycle Policy (неопр.). Microsoft. Дата обращения: 13 мая 2017. Архивировано 9 октября 2019 года.
↑ Microsoft Security Bulletin MS17-010 – Critical (неопр.). technet.microsoft.com. Дата обращения: 13 мая 2017. Архивировано 21 мая 2017 года.
↑ Double Pulsar NSA leaked hacks in the wild (неопр.). Wired (4 мая 2017 года). Дата обращения: 16 мая 2017. Архивировано 2 июня 2017 года.
↑ Newman, Lily Hay The Ransomware Meltdown Experts Warned About Is Here (неопр.). Wired.com. Дата обращения: 13 мая 2017. Архивировано 19 мая 2017 года.
↑ Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 (13 May 2017). Архивировано 29 мая 2020 года. Дата обращения 13 мая 2017.

[ars-1] 1,0 ^1,1 NSA-leaking Shadow Brokers just dumped its most damaging release yet (неопр.). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.

[2] Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes. Архивировано 28 июня 2018 года. Дата обращения 13 мая 2017.

[3] An NSA-derived ransomware worm is shutting down computers worldwide (неопр.). Ars Technica. Дата обращения: 13 мая 2017. Архивировано 12 мая 2017 года.

[:0-4] Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools, International Business Times UK (April 9, 2017). Архивировано 14 мая 2017 года. Дата обращения 16 мая 2017.

[5] 'NSA malware' released by Shadow Brokers hacker group (англ.), BBC News (April 10, 2017). Архивировано 23 мая 2017 года. Дата обращения 16 мая 2017.

[6] Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Архивировано 29 июня 2017 года. Дата обращения 28 июня 2017.

[7] Entry for CVE-2017-0144 in CVE catalog Архивировано 30 июня 2017 года.

[8] Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN (неопр.). ESET North America. Дата обращения: 16 мая 2017. Архивировано 16 мая 2017 года.

[9] Cimpanu, Catalin Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r (неопр.). Bleeping Computer (13 May 2017). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.

[10] Windows Vista Lifecycle Policy (неопр.). Microsoft. Дата обращения: 13 мая 2017. Архивировано 9 октября 2019 года.

[microsoft.com-11] Microsoft Security Bulletin MS17-010 – Critical (неопр.). technet.microsoft.com. Дата обращения: 13 мая 2017. Архивировано 21 мая 2017 года.

[12] Double Pulsar NSA leaked hacks in the wild (неопр.). Wired (4 мая 2017 года). Дата обращения: 16 мая 2017. Архивировано 2 июня 2017 года.

[13] Newman, Lily Hay The Ransomware Meltdown Experts Warned About Is Here (неопр.). Wired.com. Дата обращения: 13 мая 2017. Архивировано 19 мая 2017 года.

[14] Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 (13 May 2017). Архивировано 29 мая 2020 года. Дата обращения 13 мая 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

Хакерские атаки 2010-х
Крупнейшие атаки	Взлом сетей банка «Морган Чейз» Кибератаки в Австралии (2010) Операция «Payback» DigiNotar Операция «Тунис» Взлом и отключение PlayStation Network Операция «AntiSec» Icefog Операция «Red October» Взлом электронной почты компании Stratfor Взлом LinkedIn (2012) Кибератака на Южную Корею (2013) Snapchat Операция Tovar Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец WannaCry Кибератака на сети Управления кадровой службы США (2014—2015) Кибератака на украинскую энергосистему (2015) Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp GNAA Fancy Bear Goatse Security Lizard Squad LulzRaft LulzSec NullCrew Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN Tailored Access Operations UGNazi
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer Guccifer 2.0 Sabu Topiary The Jester weev
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe} (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT
2000-е • 2010-е • 2020-е