EternalBlue ^{[ 5 ]}เป็นซอฟต์แวร์โจมตี คอมพิวเตอร์ที่พัฒนาโดย สำนักงานความมั่นคงแห่งชาติ ของสหรัฐอเมริกา (NSA) ^{[ 6 ]}โดยอาศัยช่องโหว่แบบ zero-dayใน ซอฟต์แวร์ Microsoft Windowsที่อนุญาตให้ผู้ใช้เข้าถึงคอมพิวเตอร์จำนวนมากที่เชื่อมต่อกับเครือข่ายได้ NSA ทราบถึงช่องโหว่นี้ แต่ไม่ได้เปิดเผยให้ Microsoft ทราบเป็นเวลาหลายปี เนื่องจากตั้งใจที่จะใช้ช่องโหว่นี้เป็นส่วนหนึ่งของการปฏิบัติการโจมตีทางไซเบอร์ ในปี 2017 NSA ค้นพบว่าซอฟต์แวร์ดังกล่าวถูกขโมยโดยกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อShadow Brokers Microsoft อาจได้รับแจ้งเรื่องนี้และได้ออกอัปเดตความปลอดภัยในเดือนมีนาคม 2017 เพื่อแก้ไขช่องโหว่ดังกล่าว ในขณะเดียวกัน กลุ่มแฮกเกอร์พยายามประมูลซอฟต์แวร์ แต่ไม่ประสบความสำเร็จในการหาผู้ซื้อ จากนั้น EternalBlue ก็ถูกเผยแพร่สู่สาธารณะในวันที่ 14 เมษายน 2017 ^{[ 5 ]}

เมื่อวันที่ 12 พฤษภาคม 2560 เวิร์มคอมพิวเตอร์ในรูปแบบของแรนซัมแวร์ที่ชื่อเล่นว่าWannaCryได้ใช้ช่องโหว่ EternalBlue เพื่อโจมตีคอมพิวเตอร์ที่ใช้ Windows ซึ่งไม่ได้รับการอัปเดตระบบล่าสุดเพื่อกำจัดช่องโหว่ดังกล่าว^{[ 5 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] : 1}เมื่อวันที่ 27 มิถุนายน 2560 ช่องโหว่นี้ถูกนำมาใช้อีกครั้งเพื่อช่วยดำเนินการโจมตีทางไซเบอร์ NotPetya ในปี 2560บนคอมพิวเตอร์ที่มีช่องโหว่มากขึ้น^{[ 12 ]}

มีรายงานว่าช่องโหว่นี้ถูกใช้ตั้งแต่เดือนมีนาคม พ.ศ. 2559 โดยกลุ่มแฮ็กเกอร์ชาวจีนBuckeye (APT3)หลังจากที่พวกเขาค้นพบและนำซอฟต์แวร์นี้มาใช้ใหม่^{[ 11 ] : 1}และยังมีรายงานว่าถูกใช้เป็นส่วนหนึ่งของโทรจัน Retefe สำหรับธนาคาร ตั้งแต่อย่างน้อยวันที่ 5 กันยายน พ.ศ. 2560 ^{[ 13 ]}

EternalBlue ใช้ประโยชน์จากช่องโหว่ใน การใช้งานโปรโตคอล Server Message Block (SMB) ของMicrosoftช่องโหว่นี้ระบุด้วยรายการCVE - 2017-0144 ^{[ 14 ] [ 15 ]}ใน แคตตาล็อก Common Vulnerabilities and Exposures (CVE) ช่องโหว่นี้เกิดขึ้นเนื่องจากเซิร์ฟเวอร์ SMB เวอร์ชัน 1 (SMBv1) ในMicrosoft Windows เวอร์ชันต่างๆ จัดการแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษจากผู้โจมตีระยะไกลอย่างไม่ถูกต้อง ทำให้พวกเขาสามารถเรียกใช้โค้ดจากระยะไกลบนคอมพิวเตอร์เป้าหมายได้^{[ 16 ]}

NSA ไม่ได้แจ้งเตือน Microsoft เกี่ยวกับช่องโหว่ และเก็บช่องโหว่นี้ไว้นานกว่าห้าปีก่อนที่การละเมิดจะบังคับให้ต้องดำเนินการ หน่วยงานจึงเตือน Microsoft หลังจากทราบเกี่ยวกับการโจรกรรม EternalBlue ที่อาจเกิดขึ้น ทำให้บริษัทสามารถเตรียมแพตช์ซอฟต์แวร์ที่ออกในเดือนมีนาคม 2017 ^{[ 17 ]}หลังจากเลื่อนการออกแพตช์ ความปลอดภัยตามปกติ ในเดือนกุมภาพันธ์ 2017 ^{[ 18 ]}ในวันอังคารที่ 14 มีนาคม 2017 Microsoft ได้ออกประกาศด้านความปลอดภัย MS17-010 ^{[ 19 ]}ซึ่งให้รายละเอียดเกี่ยวกับข้อบกพร่องและประกาศว่า ได้มีการออก แพตช์สำหรับ Windows ทุกเวอร์ชันที่ได้รับการสนับสนุนในขณะนั้น ได้แก่Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2008 R2 , Windows Server 2012 , Windows Server 2012 R2และWindows Server 2016 ^{[ 20 ] [ 21 ]}

Shadow Brokersได้เผยแพร่โค้ดโจมตี EternalBlue สู่สาธารณะเมื่อวันที่ 14 เมษายน 2560 พร้อมกับเครื่องมือแฮ็กอื่นๆ อีกหลายรายการจาก NSA ^{[ 5 ]}

ผู้ใช้ Windows จำนวนมากไม่ได้ติดตั้งแพตช์ของ Microsoft เมื่อวันที่ 12 พฤษภาคม 2017 การโจมตีแรนซัมแวร์ WannaCryเริ่มใช้ช่องโหว่ EternalBlue เพื่อแพร่กระจายตัวเอง^{[ 22 ] [ 23 ]}ในวันถัดมา (13 พฤษภาคม 2017) Microsoft ได้ออกแพตช์ความปลอดภัยฉุกเฉินสำหรับWindows XP , Windows 8และWindows Server 2003ที่ ไม่ได้รับการสนับสนุน ^{[ 24 ] [ 25 ]}

ในเดือนกุมภาพันธ์ 2018 EternalBlue ได้รับการพอร์ตไปยังระบบปฏิบัติการ Windows ทั้งหมดตั้งแต่Windows 2000โดยSean Dillon นักวิจัยด้านความปลอดภัยของ RiskSense EternalChampionและEternalRomanceซึ่งเป็นช่องโหว่อีกสองรายการที่เดิมพัฒนาโดย NSA และรั่วไหลโดยThe Shadow Brokersก็ได้รับการพอร์ตในงานเดียวกันด้วย โดยเปิดให้ ใช้งานในรูป แบบโมดูลMetasploit แบบโอเพนซอร์ส ^{[ 26 ]}

ในช่วงปลายปี 2018 ระบบหลายล้านระบบยังคงมีความเสี่ยงต่อ EternalBlue ซึ่งส่งผลให้เกิดความเสียหายมูลค่าหลายล้านดอลลาร์เนื่องจากเวิร์มแรนซัมแวร์เป็นหลัก หลังจากผลกระทบครั้งใหญ่ของWannaCryซึ่งก่อให้เกิดความเสียหายมูลค่ากว่า 8 พันล้านดอลลาร์ใน 150 ประเทศ การระบาดครั้งต่อมา เช่นNotPetyaและBadRabbitก็แพร่กระจายโดยใช้ EternalBlue เป็นทั้งช่องทางการโจมตีเริ่มต้นหรือเป็นวิธีการแพร่กระจายในแนวนอน^{[ 27 ]}

ในเดือนพฤษภาคม พ.ศ. 2562 เมืองบัลติมอร์ประสบปัญหาจากการโจมตีทางไซเบอร์โดยกลุ่มรีดไถดิจิทัล การโจมตีดังกล่าวทำให้คอมพิวเตอร์หลายพันเครื่องหยุดทำงาน อีเมลใช้งานไม่ได้ และส่งผลกระทบต่อการขายอสังหาริมทรัพย์ บิลค่าน้ำ การแจ้งเตือนด้านสุขภาพ และบริการอื่นๆ อีกมากมาย นิโคล เพิร์ลรอธ ผู้เขียนบทความให้กับเดอะนิวยอร์กไทมส์ในตอนแรกระบุว่าการโจมตีครั้งนี้เป็นฝีมือของ EternalBlue ^{[ 28 ]}ในหนังสือรายงานเกี่ยวกับตลาดอาวุธไซเบอร์ที่ตีพิมพ์ในเดือนกุมภาพันธ์ พ.ศ. 2564 เพิร์ลรอธได้ชี้แจงว่า EternalBlue ไม่ได้เป็นผู้รับผิดชอบต่อการโจมตีทางไซเบอร์ในบัลติมอร์ พร้อมทั้งวิพากษ์วิจารณ์ผู้อื่นที่ชี้ให้เห็น "รายละเอียดทางเทคนิคที่ว่าในกรณีนี้ การโจมตีด้วยแรนซัมแวร์ไม่ได้แพร่กระจายไปกับ EternalBlue" ^{[ 29 ]}

ผลจากการโจมตีทางไซเบอร์ ทำให้หัวหน้าเจ้าหน้าที่สารสนเทศของเมืองบัลติมอร์ 4 คนถูกไล่ออกหรือลาออก โดย 2 คนลาออกขณะอยู่ระหว่างการสอบสวน^{[ 30 ]}นักวิจัยด้านความปลอดภัยบางคนกล่าวว่า ความรับผิดชอบต่อการละเมิดข้อมูลในบัลติมอร์นั้นอยู่ที่เมืองบัลติมอร์เอง เนื่องจากไม่ได้อัปเดตคอมพิวเตอร์ของตน ที่ปรึกษาด้านความปลอดภัย Rob Graham เขียนในทวีตว่า "หากองค์กรมีเครื่อง Windows จำนวนมากที่ไม่ได้อัปเดตแพตช์มาเป็นเวลา 2 ปี นั่นเป็นความผิดขององค์กรโดยตรง ไม่ใช่ EternalBlue" ^{[ 31 ]}

EternalBlue ปรากฏตัวครั้งแรกในเดือนกุมภาพันธ์ 2017 และได้รับการอัปเดต และในเดือนพฤษภาคม 2017 มีลักษณะแตกต่างจากเวอร์ชันก่อนหน้า ตามข้อมูลจากฟอรัมของ Kaspersky ไวรัสนี้ส่งผลกระทบต่อระบบคอมพิวเตอร์ภายในของกระทรวงมหาดไทยของรัสเซียและคอมพิวเตอร์ในหลายภูมิภาคของรัสเซีย รวมถึงสาธารณรัฐตาตาร์สถาน ในเวลาเดียวกันไวรัสแรนซัมแวร์ WCry (หรือที่รู้จักกันในชื่อ WannaCry หรือ WannaCryptor) จะเข้ารหัสไฟล์ของผู้ใช้ เปลี่ยนนามสกุลไฟล์ (คาดว่าจะเป็น .WNCRY) และขอให้ผู้ดูแลระบบคอมพิวเตอร์ที่ได้รับผลกระทบซื้อโปรแกรมถอดรหัสพิเศษโดยใช้บิตคอยน์ มิฉะนั้นไฟล์ในคอมพิวเตอร์ที่ติดไวรัสจะถูกลบ ทั่วโลกมีคอมพิวเตอร์ติดไวรัสมากกว่า 36,000 เครื่อง ส่วนใหญ่อยู่ในรัสเซีย ยูเครน และไต้หวัน ตามข้อมูลของ Jakub Kroustek จากบริษัทซอฟต์แวร์ป้องกันไวรัสAvast ^{[ 32 ] [ 33 ]}

หลังจากการโจมตี WannaCry ไมโครซอฟต์รับผิดชอบ "เป็นอันดับแรกในการแก้ไขปัญหาเหล่านี้" แต่วิจารณ์หน่วยงานรัฐบาลเช่น NSA และCIAที่กักตุนช่องโหว่แทนที่จะเปิดเผย โดยเขียนว่า "สถานการณ์ที่เทียบเท่ากับอาวุธทั่วไปคือกองทัพสหรัฐฯ ถูกขโมย ขีปนาวุธ Tomahawkบางส่วน" ^{[ 34 ]}กลยุทธ์การกักตุนทำให้ไมโครซอฟต์ไม่ทราบ (และแก้ไขในภายหลัง) ข้อบกพร่องนี้ และอาจรวมถึงข้อบกพร่องที่ซ่อนอยู่อื่นๆ ด้วย^{[ 34 ] [ 35 ]}อย่างไรก็ตาม นักวิจารณ์หลายคน รวมถึง Alex Abdo จาก Knight First Amendment Institute ของ มหาวิทยาลัยโคลัมเบียได้วิจารณ์ไมโครซอฟต์ที่โยนความผิดไปให้ NSA โดยโต้แย้งว่าควรถูกรับผิดชอบในการปล่อยผลิตภัณฑ์ที่มีข้อบกพร่องในลักษณะเดียวกับที่ผู้ผลิตรถยนต์อาจต้องรับผิดชอบ^{[ 36 ]}บริษัทถูกตำหนิว่าในตอนแรกจำกัดการเผยแพร่แพทช์ EternalBlue ให้กับผู้ใช้ Windows รุ่นใหม่และลูกค้าที่ทำสัญญา Extended Support ราคา 1,000 ดอลลาร์ต่ออุปกรณ์ ซึ่งเป็นการกระทำที่ทำให้องค์กรต่างๆ เช่น NHS ของสหราชอาณาจักร เสี่ยงต่อการโจมตี WannaCry หนึ่งเดือนหลังจากที่แพทช์ถูกปล่อยออกมาครั้งแรก ไมโครซอฟต์ได้ดำเนินการที่หาได้ยากโดยการเปิดให้ใช้งานฟรีสำหรับผู้ใช้ Windows ทุกเวอร์ชันที่เสี่ยงต่อการโจมตี ตั้งแต่ Windows XP เป็นต้นไป^{[ 37 ]}

EternalRocksหรือMicroBotMassiveNetเป็นเวิร์มคอมพิวเตอร์ที่แพร่เชื้อไปยัง Microsoft Windows โดยใช้ช่องโหว่เจ็ดอย่างที่พัฒนาโดย NSA ^{[ 38 ]} เมื่อเปรียบเทียบกันแล้ว โปรแกรม เรียกค่าไถ่ WannaCry ที่แพร่เชื้อไปยังคอมพิวเตอร์ 230,000 เครื่องในเดือนพฤษภาคม 2017 ใช้ช่องโหว่ของ NSA เพียงสองอย่างเท่านั้น ด้วยเหตุนี้ นักวิจัยจึงเชื่อว่า EternalRocks มีอันตรายมากกว่าอย่างมาก^{[ 39 ]}เวิร์มนี้ถูกค้นพบผ่านทางhoneypot ^{[ 40 ]}

EternalRocks จะติดตั้งTor ก่อน ซึ่งเป็นเครือข่ายส่วนตัวที่ซ่อนกิจกรรมทางอินเทอร์เน็ต เพื่อเข้าถึงเซิร์ฟเวอร์ที่ซ่อนอยู่ หลังจาก " ระยะเวลาฟักตัว " สั้นๆ 24 ชั่วโมง ^{[ 38 ]}เซิร์ฟเวอร์จะตอบสนองต่อคำขอของมัลแวร์โดยการดาวน์โหลดและจำลองตัวเองบนเครื่อง " โฮสต์ "

มัลแวร์นี้ตั้งชื่อตัวเองว่า WannaCry เพื่อหลีกเลี่ยงการตรวจจับจากนักวิจัยด้านความปลอดภัย ต่างจาก WannaCry ตรงที่ EternalRocks ไม่มีkill switchและไม่ใช่ ransomware ^{[ 38 ]}

• BlueKeep (ช่องโหว่ด้านความปลอดภัย) – ช่องโหว่ที่คล้ายกัน
• รายชื่อประเด็นถกเถียงของ NSA
• เพทย่า (มัลแวร์)

• กรอสส์แมน, นาดาฟ (29 กันยายน 2017). "EternalBlue – ทุกสิ่งที่คุณควรรู้" .

• ประกาศด้านความปลอดภัยของ Microsoft MS17-010
• รายการในแคตตาล็อกการอัปเดตของ Microsoft สำหรับแพทช์ EternalBlue
• CVE - 2017-0144รายการในแคตตาล็อก CVE