EternalBlue (EternalBlue)

EternalBlue (или ETERNALBLUE^[1], CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 марта 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года^[1]^[2]^[3]^[4]^[5], а также при распространении Petya в июне 2017 года^[6].

Описание уязвимости

Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB)^[7]. Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.^[8]

Компания-разработчик Microsoft подтвердила, что уязвимости подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016^[9]^[10], то есть уязвимость оставалась неисправленной на протяжении по крайней мере 16 лет. Уязвимость была устранена в серии обновлений MS17-010^[11].

Первое публичное использование эксплоита EternalBlue было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней^[12]. 12 мая 2017 года появился шифровальщик WannaCry, использовавший эксплоит EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в Интернете^[13]. Размах атаки был настолько обширен, что побудил Microsoft выпустить обновления к неподдерживаемым ОС Windows XP/Windows Server 2003 и Windows 8^[14].

Примечания

↑ ¹ ² NSA-leaking Shadow Brokers just dumped its most damaging release yet (неопр.). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
↑ Fox-Brewster, Thomas. "An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak". Forbes. Архивировано 28 июня 2018. Дата обращения: 13 мая 2017.
↑ An NSA-derived ransomware worm is shutting down computers worldwide (неопр.). Ars Technica. Дата обращения: 13 мая 2017. Архивировано 12 мая 2017 года.
↑ Ghosh, Agamoni (2017-04-09). "'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools". International Business Times UK. Архивировано 14 мая 2017. Дата обращения: 10 апреля 2017. {{cite news}}: Указан более чем один параметр |accessdate= and |access-date= (справка)
↑ "'NSA malware' released by Shadow Brokers hacker group". BBC News (англ.). 2017-04-10. Архивировано 23 мая 2017. Дата обращения: 10 апреля 2017. {{cite news}}: Указан более чем один параметр |accessdate= and |access-date= (справка)
↑ "Petya ransomware outbreak: Here's what you need to know". Symantec Security Response. Архивировано 29 июня 2017. Дата обращения: 28 июня 2017.
↑ Entry for CVE-2017-0144 in CVE catalog Архивировано 30 июня 2017 года.
↑ Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN (неопр.). ESET North America. Дата обращения: 16 мая 2017. Архивировано 16 мая 2017 года.
↑ Cimpanu, Catalin Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r (неопр.). Bleeping Computer (13 мая 2017). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
↑ Windows Vista Lifecycle Policy (неопр.). Microsoft. Дата обращения: 13 мая 2017. Архивировано 9 октября 2019 года.
↑ Microsoft Security Bulletin MS17-010 – Critical (неопр.). technet.microsoft.com. Дата обращения: 13 мая 2017. Архивировано 21 мая 2017 года.
↑ Double Pulsar NSA leaked hacks in the wild (неопр.). Wired (4 мая 2017). Дата обращения: 16 мая 2017. Архивировано 2 июня 2017 года.
↑ Newman, Lily Hay The Ransomware Meltdown Experts Warned About Is Here (неопр.). Wired.com. Дата обращения: 13 мая 2017. Архивировано 19 мая 2017 года.
↑ Surur (2017-05-13). "Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003". Архивировано 29 мая 2020. Дата обращения: 13 мая 2017.

[ars-1] ¹ ² NSA-leaking Shadow Brokers just dumped its most damaging release yet (неопр.). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.

[2] Fox-Brewster, Thomas. "An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak". Forbes. Архивировано 28 июня 2018. Дата обращения: 13 мая 2017.

[3] An NSA-derived ransomware worm is shutting down computers worldwide (неопр.). Ars Technica. Дата обращения: 13 мая 2017. Архивировано 12 мая 2017 года.

[:0-4] Ghosh, Agamoni (2017-04-09). "'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools". International Business Times UK. Архивировано 14 мая 2017. Дата обращения: 10 апреля 2017. {{cite news}}: Указан более чем один параметр |accessdate= and |access-date= (справка)

[5] "'NSA malware' released by Shadow Brokers hacker group". BBC News (англ.). 2017-04-10. Архивировано 23 мая 2017. Дата обращения: 10 апреля 2017. {{cite news}}: Указан более чем один параметр |accessdate= and |access-date= (справка)

[6] "Petya ransomware outbreak: Here's what you need to know". Symantec Security Response. Архивировано 29 июня 2017. Дата обращения: 28 июня 2017.

[7] Entry for CVE-2017-0144 in CVE catalog Архивировано 30 июня 2017 года.

[8] Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN (неопр.). ESET North America. Дата обращения: 16 мая 2017. Архивировано 16 мая 2017 года.

[9] Cimpanu, Catalin Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r (неопр.). Bleeping Computer (13 мая 2017). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.

[10] Windows Vista Lifecycle Policy (неопр.). Microsoft. Дата обращения: 13 мая 2017. Архивировано 9 октября 2019 года.

[microsoft.com-11] Microsoft Security Bulletin MS17-010 – Critical (неопр.). technet.microsoft.com. Дата обращения: 13 мая 2017. Архивировано 21 мая 2017 года.

[12] Double Pulsar NSA leaked hacks in the wild (неопр.). Wired (4 мая 2017). Дата обращения: 16 мая 2017. Архивировано 2 июня 2017 года.

[13] Newman, Lily Hay The Ransomware Meltdown Experts Warned About Is Here (неопр.). Wired.com. Дата обращения: 13 мая 2017. Архивировано 19 мая 2017 года.

[14] Surur (2017-05-13). "Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003". Архивировано 29 мая 2020. Дата обращения: 13 мая 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

Хакерские атаки 2010-х
Крупнейшие атаки	Кибератаки в Австралии (2010)^[англ.] Операция «Payback»^[англ.] DigiNotar^[англ.] Операция «Тунис»^[англ.] Взлом и отключение PlayStation Network Операция «AntiSec»^[англ.] Icefog Операция «Red October» Взлом электронной почты компании Stratfor^[англ.] Взлом LinkedIn (2012)^[англ.] Кибератака на Южную Корею (2013)^[англ.] Snapchat Операция Tovar^[англ.] Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец Атака шифровальщика WannaCry Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp^[англ.] Evil Corp Fancy Bear GNAA^[англ.] Goatse Security^[англ.] Lizard Squad^[англ.] LulzRaft^[англ.] LulzSec NullCrew^[англ.] Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN^[англ.] Tailored Access Operations^[англ.] UGNazi^[англ.]
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer^[англ.] Guccifer 2.0^[англ.] Sabu^[англ.] Topiary^[англ.] The Jester^[англ.] weev^[англ.]
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe^[англ.] (OSX, 2014) JASBUG^[англ.] (Windows, 2015) Stagefright^[англ.] (Android, 2015) DROWN^[англ.] (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA^[англ.] (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT
2000-е 2010-е 2020-е