EternalBlue

Allikas: Vikipeedia
Jump to navigation Jump to search

EternalBlue on USA Riikliku Julgeolekuagentuuri (NSA) arendatud turvaauk endiste NSA töötajate tunnistuste põhjal.[1] Turvaaugu lekitas häkkerirühmitus Shadow Brokersite 14. aprillil 2017 ning oli osa ülemaailmsest WannaCry lunavara rünnakust, mis leidis aset 12. mail 2017.[2][3] EternalBlued kasutati samuti NotPetya küberrünnakus 27. juunil 2017[4] ning väidetavalt kasutatakse seda Retefe Trooja hobusena alates 5. septembrist 2017.

Detailid[muuda | muuda lähteteksti]

EternalBlue kasutab Microsofti poolt loodud Server Message Boxi (SMB) protokolli haavatavust. See turvanõrkus kinnitati sissekandega CVE-2017-0144[5] Common Vulnerabilities and Exposures (CVE) kataloogi. Turvanõrkus eksisteerib, sest SMB esimese versiooni (SMBv1) server käsitleb valesti ründajate poolt spetsiaalselt loodud pakette erinevates Microsoft Windowsi versioonides, mis lubab ründajatel käivitada koode sihtarvutis.[6]

USA Riiklik Julgeolek (NSA) hoiatas Microsofti võimalikust probleemist pärast sellest teadlikuks saamist. See võimaldas Microsoftil teha tarkvara turvapaik märtsis 2017. 14. märtsil 2017 andis Microsoft välja turbevärskendust MS17-010[7], milles kirjutati detailselt turvanõrkusest ja kuulutati välja, et on väljastatud turvapaigad kõikidele Windowsi versioonidele, mis sel hetkel toetatud olid: Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016, samuti ka Windows Vista, mille toetamine alles hiljuti lõpetati. Paljud Windowsi kasutajad ei olnud turbevärskendusi alla laadinud ja installinud, kui kaks kuud hiljem, 12. mail 2017, kasutas WannaCry lunavara rünnak EternaBlue turvanõrkust selleks, et end levitada.[8] Järgmisel päeval, 13. mail 2017, lasi Microsoft välja erakorralised turvapaigad Windowsi versioonidele, milleks olid Windows 7, Windows 8 ja mitte toetatud versioonidele Windows XP ja Windows Server 2003.[9]

2018. aasta veebruaris portis RiskSense'i turvalisuse uurija Sean Dillon EternalBlue igale Windowsi operatsioonisüsteemile alates versioonist Windows 2000. Kaks teist turvaauku, EternalChampion ja EternalRomance, mis olid samuti NSA loodud ja Shadow Brokersite lekitatud, porditi samal ajal. Need avalikustati avaliku lähtekoodiga Metasploit moodulitena.[10]

Vastutus[muuda | muuda lähteteksti]

Microsoft väidab, et USA Riiklik Julgeolekuagentuur on vastutav selle eest, et Microsoft ei saanud varem välja anda turvapaiku sellele turvaugule ning ka võimalikele teistele vigadele, mis siiamaani saladuseks on.[11]

EternalRocks[muuda | muuda lähteteksti]

EternalRocks või MicroBotMassiveNet, on arvutiussviirus, mis nakatab Microsoft Windowsi. Ussviirus kasutab seitset turvaauku[12], mis on kõik arendatud USA Riikliku Julgeolekuagentuuri poolt. Võrdluseks, WannaCry lunavara programm, mis nakatas 230 000 arvutit 2017. aasta mais, kasutas ainult kaht NSA arendatud turvaauku. Seetõttu arvavad teadurid, et EternalRocks on palju ohtlikum kui WannaCry.[13]

Nakatumine[muuda | muuda lähteteksti]

Kõigepealt installib EternalRocks tasuta tarkavara Tor (The Onion Router), mis on privaatne võrk, mis varjab internetitegevust, et saaks ligipääsu võrgu peidetud serveritele. Pärast 24-tunnist peiteaega vastab server pahavara taotlusele ning tõmbab end alla ja paljundab iseend hosti arvutis.[12]

Pahavara nimetab end WannaCryks, et pääseda avastamisest. Erinevalt WannaCryst ei ole EternalRocks pahavara ning sel ei ole suretinuppu.[12]

Viited[muuda | muuda lähteteksti]

  1. "NSA officials worried about the day its potent hacking tool would get loose. Then it did.". Vaadatud 05.11.2018.
  2. Dan Goodin. "NSA-leaking Shadow Brokers just dumped its most damaging release yet". Vaadatud 05.11.2018.
  3. Thomas Fox-Brewster. "An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak". 12/04/2017. Forbes. Vaadatud 05.11.2018.
  4. Nicole Perloth, Mark Scott, Sheera Frenkel. "Cyberattack Hits Ukraine Then Spreads Internationally". 27/07/2018. Vaadatud 05.11.2018.
  5. "CVE-2017-0144". 09/09/2018. MITRE Corporation. Vaadatud 05.11.2018.
  6. "Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN". ESET North America. Vaadatud 05.11.2018. Arhiiviversioon, arhiveeritud Mai 16, 2017.
  7. "Microsoft Security Bulletin MS17-010 – Critical". Vaadatud 05.11.2018.
  8. Lily Hay Newman. "The Ransomware Meltdown Experts Warned About Is Here". Vaadatud 05.11.2018.
  9. "Microsoft has already patched the NSA's leaked Windows hacks". 15/04/2017. Vox Media. Vaadatud 05.11.2018.
  10. "NSA Exploits Ported to Work on All Windows Versions Released Since Windows 2000". Vaadatud 05.11.2018.
  11. "The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack - Microsoft on the Issues". 14/05/2018. Vaadatud 05.11.2018.
  12. 12,0 12,1 12,2 "New SMB Worm Uses Seven NSA Hacking Tools. WannaCry Used Just Two)". Vaadatud 05.11.2018.
  13. "Newly identified ransomware 'EternalRocks' is more dangerous than 'WannaCry' - Tech2". 22/05/2018. Vaadatud 05.11.2018.