EternalBlue

Origem: Wikipédia, a enciclopédia livre.
Exploit Eternal
Nome comum Eternal
Nome técnico
  • Variante Blue
  • Variante Rocks
    • TrojanDownloader:Win32/Eterock.[Letra] (Microsoft) [2]
    • W32.Eternalrocks (Symantec)
    • TROJ_ETEROCK.[Letra] (Trend Micro) [3]
    • Mal/Eterocks-[Letra] (Sophos)
    • Troj/Eterocks-[Letra] (Sophos)
  • Variante Synergy
    • Win32/Exploit.Equation.EternalSynergy (ESET) [4]
Tipo Exploit
Autor(es) Equation Group
Sistema(s) operacional(is) afetado(s) Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP

O EternalBlue[5] é um exploit de ataque cibernético desenvolvido pela Agência de Segurança Nacional (NSA) dos Estados Unidos da América.[6] Foi divulgado ("vazado") pelo grupo de hackers Shadow Brokers em 14 de abril de 2017, um mês depois que a Microsoft lançou correções para a vulnerabilidade.

Em 12 de maio de 2017, o ransomware mundial WannaCry usou este exploit para atacar computadores não corrigidos.[5][7][8][9][10][11]:1 Em 27 de junho de 2017, o exploit foi usado novamente para ajudar a realizar o ataque cibernético NotPetya de 2017 em mais computadores não corrigidos.[12]

O exploit também foi relatado como tendo sido usado desde março de 2016 pelo grupo de hackers chinês Buckeye (APT3), depois que eles provavelmente encontraram e reaproveitaram a ferramenta,[11]:1, bem como relatado ter sido usado como parte do cavalo de Troia bancário Retefe desde pelo menos 5 de setembro de 2017.[13]

O EternalBlue estava entre os vários exploits usados, em conjunto com a ferramenta de implante backdoor DoublePulsar.[14]

Detalhes[editar | editar código-fonte]

O EternalBlue explora uma vulnerabilidade na implementação da Microsoft do protocolo SMB.Esta vulnerabilidade é denotada pela entrada CVE-2017-0144[15][16] no catálogo Vulnerabilidades e exposições comuns (CVE). A vulnerabilidade existe porque o servidor SMB versão 1 (SMBv1) em várias versões do Microsoft Windows manipula mal pacotes especialmente criados de atacantes remotos, permitindo a execução de código arbitrário no computador de destino.[17]

A NSA não alertou a Microsoft sobre as vulnerabilidades e manteve sua posição por mais de cinco anos antes de a violação a forçar. A agência então avisou a Microsoft, após saber sobre o possível roubo do EternalBlue, permitindo que a empresa preparasse uma correção de software lançada em março de 2017,[18] após atrasar o lançamento regular de correções de segurança em fevereiro de 2017.[19] Na terça-feira, 14 de março de 2017, a Microsoft publicou o boletim de segurança MS17-010,[20] que detalhou a falha e anunciou que as correções foram lançadas para todas as versões do Windows que eram suportadas naquela época (Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 e Windows Server 2016).[21][22]

Muitos usuários do Windows não tinham instalado as correções quando, dois meses depois, em 12 de maio de 2017, o ataque ransomware WannaCry usou a vulnerabilidade EternalBlue para se espalhar.[23][24] No dia seguinte, 13 de maio de 2017, a Microsoft lançou correções de segurança de emergência para o Windows XP, o Windows 8 e o Windows Server 2003 sem suporte.[25][26]

Em fevereiro de 2018, o EternalBlue foi portado para todos os sistemas operacionais Windows desde o Windows 2000 pelo pesquisador de segurança da RiskSense, Sean Dillon. O EternalChampion e o EternalRomance, dois outros exploits originalmente desenvolvidos pela NSA e vazados pelo The Shadow Brokers, também foram portados no mesmo evento. Eles foram disponibilizados como módulos Metasploit de código aberto.[27]

No final de 2018, milhões de sistemas ainda estavam vulneráveis ao EternalBlue. Isso gerou milhões de dólares em danos, principalmente devido a worms ransomware. Após o impacto massivo do WannaCry, tanto o NotPetya quanto o BadRabbit causaram mais de 1 bilhão de dólares em danos em mais de 65 países, usando o EternalBlue como um vetor de compromisso inicial ou como um método de movimento lateral.[28]

Em maio de 2019, a cidade de Baltimore enfrentou um ataque cibernético de extorsionários digitais. O ataque congelou milhares de computadores, desligou e-mails e interrompeu vendas de imóveis, contas de água, alertas de saúde e muitos outros serviços. Nicole Perlroth, escrevendo para o New York Times, inicialmente atribuiu este ataque ao EternalBlue[29] mas, em um livro de memórias publicado, em fevereiro de 2021 esclareceu que o EternalBlue não tinha sido responsável pelo ciberataque em Baltimore, enquanto criticava outros por apontar "o aspecto técnico detalhe que, neste caso específico, o ataque ransomware não se espalhou com o EternalBlue".[30]

Desde 2012, quatro diretores de informação da cidade de Baltimore foram demitidos ou renunciaram (dois deixaram enquanto sob investigação).[31] Alguns pesquisadores de segurança disseram que a responsabilidade pela violação em Baltimore é da cidade, por não atualizar seus computadores. O consultor de segurança Rob Graham escreveu em um tweet: "Se uma organização tem um número substancial de máquinas Windows que ficaram 2 anos sem correções, então isso é totalmente culpa da organização, não do EternalBlue."[32]

EternalRocks[editar | editar código-fonte]

O EternalRocks ou MicroBotMassiveNet é um worm de computador que infecta o Microsoft Windows. Ele usa sete exploits desenvolvidos pela NSA.[33] Comparativamente, o programa ransomware WannaCry que infectou 230.000 computadores em maio de 2017 usa apenas dois exploits NSA, fazendo os pesquisadores acreditarem que o EternalRocks é significativamente mais perigoso.[34] O worm foi descoberto por meio de um honeypot.[35]

O EternalRocks primeiro instala o Tor, uma rede privada que esconde a atividade da Internet, para acessar seus servidores ocultos. Após um breve "período de incubação" de 24 horas,[33] o servidor responde à solicitação do malware baixando e se auto replicando na máquina "hospedeira (host)".

O malware até se chama WannaCry para evitar a detecção de pesquisadores de segurança. Ao contrário do WannaCry, o EternalRocks não possui um kill switch e não é um ransomware.[33]

Responsabilidade[editar | editar código-fonte]

De acordo com a Microsoft, foi a NSA dos Estados Unidos a responsável por sua estratégia polêmica de não divulgar, mas armazenar vulnerabilidades. A estratégia evitou que a Microsoft soubesse (e posteriormente corrigisse) desse erro e, provavelmente, outros erros ocultos.[36][37]

Ver também[editar | editar código-fonte]

Referências[editar | editar código-fonte]

  1. «Descrição da ameaça Trojan:Win32/EternalBlue - Inteligência de segurança da Microsoft». www.microsoft.com (em inglês) 
  2. «Descrição da ameaça TrojanDownloader: Win32/Eterock.A - Inteligência de segurança da Microsoft». www.microsoft.com (em inglês) 
  3. «TROJ_ETEROCK.A - Enciclopédia de ameaças - Trend Micro E.U.A.». www.trendmicro.com (em inglês) 
  4. «Win32/Exploit.Equation.EternalSynergy.A - Virusradar ESET». www.virusradar.com (em inglês) 
  5. a b Goodin, Dan (14 de abril de 2017). «Shadow Brokers com vazamento da NSA acabaram de despejar seu lançamento mais prejudicial». Ars Technica (em inglês). 1 páginas. Consultado em 13 de maio de 2017 
  6. Nakashima, Ellen; Timberg, Craig (16 de maio de 2017). «Os funcionários da NSA estavam preocupados com o dia em que sua potente ferramenta de hacking seria liberada. Então aconteceu.». Washington Post (em inglês). ISSN 0190-8286. Consultado em 19 de dezembro de 2017 
  7. Fox-Brewster, Thomas (12 de maio de 2017). «Uma arma cibernética da NSA pode estar por trás de um surto ransomware global maciço». Forbes (em inglês). 1 páginas. Consultado em 13 de maio de 2017 
  8. Goodin, Dan (12 de maio de 2017). «Um worm ransomware derivado da NSA está desligando computadores em todo o mundo». Ars Technica (em inglês). 1 páginas. Consultado em 13 de maio de 2017 
  9. Ghosh, Agamoni (9 de abril de 2017). «"Presidente Trump, o que você está fazendo" diz Shadow Brokers e despeja mais ferramentas de hacking da NSA». International Business Times - Reino Unido (em inglês). Consultado em 10 de abril de 2017 
  10. «"Malware NSA" lançado pelo grupo de hackers Shadow Brokers». BBC News (em inglês). 10 de abril de 2017. Consultado em 10 de abril de 2017 
  11. a b Greenberg, Andy (7 de maio de 2019). «A estranha jornada de um dia zero da NSA - nas mãos de vários inimigos». Wired. Consultado em 19 de agosto de 2019. Cópia arquivada em 12 de maio de 2019 
  12. Perlroth, Nicole; Scott, Mark; Frenkel, Sheera (27 de junho de 2017). «Ataque cibernético atinge a Ucrânia e se espalha internacionalmente». The New York Times (em inglês). 1 páginas. Consultado em 27 de junho de 2017 
  13. «Exploit EternalBlue usado na campanha do trojan bancário Retefe». Threatpost (em inglês). Consultado em 26 de setembro de 2017 
  14. «stamparm/EternalRocks». GitHub (em inglês). Consultado em 25 de maio de 2017 
  15. «CVE-2017-0144». CVE - Vulnerabilidades e exposições comuns (em inglês). MITRE Corporation. 9 de setembro de 2016. 1 páginas. Consultado em 28 de junho de 2017 
  16. «Vulnerabilidade de execução remota de código do Microsoft Windows SMB CVE-2017-0144». SecurityFocus (em inglês). Symantec. 14 de março de 2017. 1 páginas. Consultado em 28 de junho de 2017 
  17. «Vulnerabilidade CVE-2017-0144 eno SMB explorada pelo ransomware WannaCryptor para se espalhar pela rede de área local» (em inglês). ESET América do Norte. Consultado em 16 de maio de 2017. Cópia arquivada em 16 de maio de 2017 
  18. «Os funcionários da NSA estavam preocupados com o dia em que sua potente ferramenta de hacking seria vazada. Então aconteceu.» (em inglês). Consultado em 25 de setembro de 2017 
  19. Warren, Tom (15 de abril de 2017). «A Microsoft já corrigiu os hacks do Windows vazados da NSA». The Verge (em inglês). Vox Media. p. 1. Consultado em 25 de abril de 2019 
  20. «Boletim de segurança da Microsoft MS17-010 - Crítico». technet.microsoft.com (em inglês). Consultado em 13 de maio de 2017 
  21. Cimpanu, Catalin (13 de maio de 2017). «Microsoft lança correção para versões mais antigas do Windows para proteção contra Wana Decrypt0r». Bleeping Computer (em inglês). Consultado em 13 de maio de 2017 
  22. «Política de ciclo de vida do Windows Vista» (em inglês). Microsoft. Consultado em 13 de maio de 2017 
  23. Newman, Lily Hay (12 de março de 2017). «The Ransomware Meltdown Experts Warned About Is Here». wired.com (em inglês). p. 1. Consultado em 13 de maio de 2017 
  24. Goodin, Dan (15 de maio de 2017). «Wanna Decryptor: o worm ransomware derivado da NSA que desliga computadores em todo o mundo». Ars Technica (em inglês). p. 1. Consultado em 15 de maio de 2017 
  25. Surur (13 de maio de 2017). «Microsoft lança correção contra o Wannacrypt para Windows XP, Windows 8 e Windows Server 2003 sem suporte» (em inglês). Consultado em 13 de maio de 2017 
  26. Equipe MSRC. «Orientação para o cliente para ataques WannaCrypt». microsoft.com (em inglês). Consultado em 13 de maio de 2017 
  27. «Exploits NSA transferidos para funcionar em todas as versões do Windows lançadas desde o Windows 2000». www.bleepingcomputer.com (em inglês). Consultado em 5 de fevereiro de 2018 
  28. «Um ano depois de WannaCry, o exploit EternalBlue estâ maior do que nunca». www.bleepingcomputer.com (em inglês). Consultado em 20 de fevereiro de 2019 
  29. Perlroth, Nicole; Shane, Scott (25 de maio de 2019). «Em Baltimore e além, uma ferramenta roubada da N.S.A. causa estragos» (em inglês) – via NYTimes.com 
  30. Perlroth, Nicole (9 de fevereiro de 2021). É assim que eles me dizem que o mundo acaba: a corrida armamentista das armas cibernéticas (em inglês). [S.l.]: Bloomsbury 
  31. Gallagher, Sean (28 de maio de 2019). «Eternamente azul: os líderes da cidade de Baltimore culpam a NSA pelo ataque ransomware». Ars Technica (em inglês) 
  32. Rector, Ian Duncan, Kevin. «Líderes políticos de Baltimore buscam informações após relato de que a ferramenta da NSA foi usada em um ataque de ransomware». baltimoresun.com (em inglês) 
  33. a b c «Novo worm SMB usa sete ferramentas de hacking da NSA. O WannaCry usou apenas dois» (em inglês) 
  34. «O ransomware recém identificado "EternalRocks" é mais perigoso do que o "WannaCry" - Tech2». Tech2 (em inglês). 22 de maio de 2017. Consultado em 25 de maio de 2017 
  35. «Miroslav Stampar no Twitter». Twitter (em inglês). Consultado em 30 de maio de 2017 
  36. «A necessidade de uma ação coletiva urgente para manter as pessoas seguras online: Lições do ataque cibernético da semana passada - Microsoft sobre os problemas». Microsoft sobre os problemas (em inglês). 14 de maio de 2017. Consultado em 28 de junho de 2017 
  37. Titcomb, James (15 de maio de 2017). «Microsoft golpeia governo dos E.U.A. por causa de ataque cibernético global». The Telegraph (em inglês). p. 1. Consultado em 28 de junho de 2017 

Leitura adicional[editar | editar código-fonte]

Ligações externas[editar | editar código-fonte]

Obtida de "https://pt.wikipedia.org/w/index.php?title=EternalBlue&oldid=64779525"