بعد عام واحد: إستغلال “إيترنال بلو” أصبح أكثر إنتشارا الاَن مما كان عليه أثناء تفشي “وانا كريبتور”
لقد مر عام منذ حدوث هجمات “وانا كريبتور.دي رانسوم وير ” (الملقبة بواناكراي و وكريبت) في واحدة من أكبر اضطرابات الإنترنت التي شهدها العالم على الإطلاق. وفي حين أن التهديد نفسه لم يعد يعيث فسادا في أرجاء العالم ، ولكن نقطة الاستغلال الذي مكنت من تفشي المرض ، والمعروف باسم “إيترنال بلو” ، لا تزال تهدد الأنظمة التي لم يتم إصلاحها والغير محمية. وكما توضح بيانات القياس من قبل شركة «إسيت»، فإن نشاطها قد تزايدت على مدار الأشهر القليلة الماضية ، كما تجاوزت الزيادة الأخيرة أعلى مستوياتها منذ عام 2017.
يتم إستغلال “إيترنال بلو” كثغرة أمنية (يتم تناولها في Microsoft Security Bulletin MS17-010) في “تطبيق مايكروسوفت لحجب رسائل الخادم” (SMB) عبر المنفذ 445. وفي علميات الهجوم ، يقوم المجرمون بفحص الإنترنت بحثًا عن منافذ (SMB) مكشوفة ، وإذا تم العثور عليها ، ويتم إطلاق رمز استغلال. وإذا كان المستهدف ضعيفًا ، فسيعمل عندئذٍ المهاجم على تفعيل هجوم اكبر وفقا لرغبته. لقد كانت هذه الآلية وراء التوزيع الفعال لـ هجمات “وانا كريبتور.دي رانسوم وير “عبر الشبكات.
ومن المثير للاهتمام ، وفقًا لقياس «إسيت» عن بُعد ، فإن علمية إستغلال “إيترنال بلو” قد شهدت فترة أكثر هدوءًا بعد حملة”وانا كريبتور” 2017: وعلى مدار الأشهر التالية ، انخفضت محاولات استغلال “إيترنال بلو” إلى عدد “مئات” فقط من عمليات الاكتشاف اليومية. ولكن منذ سبتمبر من العام الماضي ، بدأ استخدامها و بمعدل متزايد مرة أخرى ، ومع النمو المستمر وصلت المعدلات إلى مستويات أعلى جديدة حتى منتصف أبريل 2018.
أحد التفسيرات المحتملة لما يحدث هو HYPERLINK “https://bartblaze.blogspot.sk/2018/04/satan-ransomware-adds-eternalblue.html” حملات رانسوم وير الشيطانية و التي تمت مشاهدتها أثناء تلك الفترة ، وربما أيضًا تكون مرتبطة بأنشطة خبيثة أخرى.
يجب علينا التأكيد على أن أسلوب التسلل المستخدم بواسطة “إيترنال بلو” غير ناجح على الأجهزة المحمية بواسطة «إسيت». إن إحدى طبقات الحماية المتعددة من إسيت – وحدة حماية هجوم الشبكة – تمنع هذا التهديد بداية من نقطة الدخول. ويمكن تشبية ذلك بالطرق الخفيف على الباب عند الساعة 2 صباحًا للتأكد إذا كان هناك شخص مستيقظ. أن هذا النوع من النشاط يحتمل أن يكون مدفوعًا بنوايا خبيثة ،و بالتالي يتم إغلاق المدخل بإحكام لإبعاد أي دخلاء أو متسللين.
يتم هذا الأمر فعليا منذ فترة تفشي “وانا كريبتور” في 12 مايو 2017 وكذلك جميع الهجمات HYPERLINK “https://www.welivesecurity.com/2017/05/17/wannacryptor-wasnt-the-first-to-use-eternalblue/” السابقة واللاحقة من قِبل مهاجمين و مجموعات خبيثة.
ولقد مكّن إستغلال “إيترنال بلو” العديد من الهجمات الإلكترونية البارزة من النجاح. وبصرف النظر عن “وانا كريبتور” ، فإنها تعمل أيضًا على تنشيط و تشغيل هجمات Diskcoder.C (المعروف باسم Petya و NotPetya و ExPetya) و حدث ذلك في يونيو من العام 2017 بالإضافة إلى حملة “بادرابيت رانسوم وير ” في HYPERLINK “https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/” الربع الأخير من العام 2017. كذلك تم استخدامه بواسطة HYPERLINK “https://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-full.pdf” Sednit (المعروف أيضًا باسم APT28 ، Fancy Bear و Sofacy ) و هي مجموعة التجسس الإلكتروني لمهاجمة شبكات الواي فاي في الفنادق الأوروبية.
كما تم تحديد هذا الاستغلال كواحد من آليات الانتشار لهجمات ” كريبتومينرز ” الخبيثة. و الذي تم نشرة في الاَونة الأخيرة لتوزيع حملة رانسوم وير الشيطانية، والتي تم وصفها بعد أيام قليلة فقط من اكتشاف قياس«إسيت» عن بُعد لها في منتصف شهر إبريل 2018 في الفترة الموازية لإرتفاع معدلات إستغلال “إيترنال بلو”.
زُعم أن هناك هجوم إستغل “إيترنال بلو” و سُرق من وكالة الأمن القومي و حدث ذلك في العام 2016 وتم تسريبه عبر الإنترنت في 14 أبريل 2017 بواسطة مجموعة أطلق عليها اسم “شادو بروكرز” . أصدرت شركة ” مايكروسوفت” التحديثات التي ثبّتت مشكلة عدم حصانة (SMB) في 14 مارس 2017 ، ولكن حتى يومنا هذا ، هناك العديد من الأجهزة الغير المربوطة بالتحديث.
هذا الاستغلال وكل الهجمات التي مكنتها حتى الآن تسلط الضوء على أهمية الترقيع و الإصلاح في الوقت المناسب والحاجة إلى حل أمني موثوق به ومتعدد الطبقات يمكن أن يمنع الأداة الخبيثة الكامنة من تحقيق إنتصار.
