Berichten

EternalBlue strikes again

13 bitcoin

Op dit moment zo’n 93.000 euro.

Dat is het bedrag dat de Amerikaanse stad Baltimore moet betalen om tienduizenden gemeentecomputers te ontsleutelen. De stad weigert al drie weken, waardoor rekeningen niet betaald kunnen worden en boetes niet geïnd. De FBI onderzoekt wie er achter de aanval zit.

De groep mag dan niet bekend zijn, de gebruikte malware wel. En het is er eentje met een lange geschiedenis. EternalBlue, gemaakt door een Amerikaanse geheime dienst. U kent ze wel: de NSA.

Zero-day

Wanneer de Equation Group, onderdeel van de NSA, de malware precies gemaakt heeft is me niet bekend, maar het is al een tijdje geleden. De malware was namelijk een zogenaamde zero-day exploit. Een stukje software dat misbruik maakt van een fout – in dit geval in Windows – die nog niet bekend is.

Zolang je zo’n zero-day geheim houdt, en dat doen geheime diensten graag – werkt je malware op alle computers die de software gebruiken – in dit geval dus alle Windows computers. Krachtig spul.  

Shadow brokers

Iedereen kan slachtoffer worden van een hack. Dus ook de NSA. In 2016 wist de Shadow Brokers groep (identiteit: onbekend) in te breken in het systeem van de NSA en onder andere EternalBlue te stelen. Op 14 april 2017 hebben ze EternalBlue gepubliceerd. Een tweet en een Pastebin post maakten de malware openbaar. Voor het grijpen voor wie het maar wilde gebruiken. En dat waren er nogal wat.

Patch

Op het moment van de publicatie had Microsoft het lek al een maand gepatcht. Een niet genoemde organisatie had het lek namelijk aan ze doorgegeven. Ik denk dat we moeten concluderen dat geheime diensten toch graag hun zero-days doorgeven aan de softwarefabrikanten. Maar alleen nadat ze gestolen zijn.

Wat is nou de impact van zo’n stukje malware? Iedereen die zijn systemen heeft geupdate is veilig, immers? Dus dat kan niet zoveel schade meer aanrichten, zou je denken.

Wannacry

Noord-Korea was een van de eersten die EternalBlue in gebruik namen. WannaCry, een wat onhandige cryptoware, begon zijn ronde op 12 mei, binnen een maand na de publicatie. (Meer over Noord Korea hier: Wie is Park Jin Hyok?) Minder dan twee maanden na de Microsoft update wist de malware in korte tijd zo’n 200.000 computers te besmetten. De situatie was ernstig genoeg dat Microsoft de dag erop zelfs een Windows-XP update uitbracht.

Als onderzoeker/hacker Marcus Hutchins niet de kill-switch had gevonden dan zou de ellende mogelijk nog groter zijn geweest. (Marcus speelde zich daarmee wel in de kijker en is later zelf aangeklaagd voor het schrijven van malware)

NotPetya

Maar het kon erger.

Een groep genaamd de Sandworm Group, vermoedelijke locatie: Rusland, gebruikte EternalBlue om Oekraïne aan te vallen. En ze deden dat op een vernuftige manier. Ze wisten binnen te dringen in een Oekraïens softwarebedrijf dat accounting software maakte. Vervolgens voegden ze hun code, gebaseerd op EternalBlue, toe aan de nieuwe release van de M.E.Doc software. Zodat iedereen die wél een M.E.Doc update draaide maar geen Windows update had gedaan geïnfecteerd raakte.

En niet alleen in Oekraïne. Ook bij partners die zaken deden in Oekraïne. Zoals containervervoerder Maersk, of APM in de Rotterdamse haven.

Maersk is als gevolg van de infectie meer dan een week bezig geweest om de systemen weer draaiend te krijgen, wat uiteindelijk door een combinatie van hard werken, veel geld uitgeven en puur geluk mogelijk bleek.

Enzovoorts

En het gaat maar door. Fancy Bear (Rusland), Iran, cryptomining, de ene groep na de andere overheid zette EternalBlue in als werkpaard. De aanval op Baltimore is voorlopig de laatste uit een lange, lange serie. En hoewel de zwakheid die EteralBlue misbruikt nu al meer dan twee jaar gepatcht is voorzie ik dat het voorlopig nog wel niet zal ophouden.

Actie!

Een vraag als conclusie van dit artikeltje. Heeft u zelf al geüpdate?
Sinds mei 2017?

Controleer het even, of het nu uw eigen computer betreft of dat u verantwoordelijk bent voor een heel bedrijfssysteem.

Want u wilt niet de volgende zijn.

2 Comments :

  1. Dennis 29 mei 2019 at 09:56

    geupdate? geüpdate?
    geüpdatet! (https://woordenlijst.org/#/?q=updaten)

    Maar goed, wat ik eigenlijk wilde zeggen: leuke stukjes, Peter! Blijven doen!

    Reply
    1. PeterZinn 10 juni 2019 at 20:00

      Ik weet het. Geüpdatet. Maar ik krijg het niet mijn strot uit. Dus ik blijf een beetje rebels.
      Volgende keer: upgedate 🙂

      Reply

Geef een reactie :

* Your email address will not be published.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: