Gestolen NSA-prog EternalBlue favoriet e-krakers

EternalBlue van de NSA maakt spionage en webmisdaad een stuk makkelijker

Eeuwig blauw

Al dat gezeur over Russen die inbreken op het wereldwijde web laat onverlet dat  de Amerikaanse geheime dienst NSA de grootste trol op internet is met een dikke negenmiljard dollar per jaar te besteden. Dan is het natuurlijk wel leuk om te weten dat ook die superwebspion te belazeren is. Zo’n jaar geleden werd bekend dat er bij die dienst digitaal was ingebroken en er allerhande ‘werkmateriaal’ was gestolen. Zo schijnt het NSA-prog EternalBlue populair te zijn geworden onder e-krakers om hun kwaadaardige code te verspreiden, met dank aan de Amerikaanse belastingbetaler…

Russische krakers, webboeven met losgeldprogs, spionagegroepen in het Midden-Oosten en criminele delvers van kryptomunten schijnen allemaal graag gebruik te maken van EternalBlue. Beveiligingsdeskundigen zien steeds meer aanpassingen van dat prog.
EternalBlue slaat op het blauwe scherm van Windows, als er iets goed mis is met de computer, en is door de NSA ontwikkeld om misbruik te maken van fouten in Windows. April vorig jaar kwam de code op straat te liggen na een digitale inbraak bij de NSA door een kraakgroep die wordt aangeduid met de Shadow Brokers. Overigens heeft die dienst de inbraak nooit toegegeven. De overheid zou zich eens kunnen gaan afvragen wat die NSA-klunzen doen voor al die dure miljarden.

EternalBlue maakt misbruik van kwetsbaarheden in het SMB-transportprotocol waardoor Windowsmachines met elkaar kunnen communiceren of met diensten zoals printerdeling. Aanvallers misbruiken fouten/zwakheden in de manier waarop SMB (server message block) functioneert om eigen code uit te voeren. Als ze eenmaal een voet tussen de deur hebben in een apparaat, dan zijn ze binnen in het netwerk en kan het ‘betere’ werk beginnen.

Pleisters

Microsoft maakte vorig jaar ‘pleisters’ om die kwetsbaarheden te repareren, maar die komen kennelijk niet overal in een organisatie terecht. EternalBlue schijnt het ‘hart’ geweest te zijn van de WannaCry-losgeldaanval vorig jaar. Daar zou Noord-Korea verantwoordelijk voor zijn geweest. Dat verleidde Microsoft er toe om zelfs ‘pleisters’ te maken voor besturingssysteemversies die allang bij het oudvuil waren gezet zoals XP en Windows server 2003.
Onderwijl werd de NSA voor de voeten geworpen dat ze jarenlang niets gezegd hadden over de kwetsbaarheid. Dat is raar, want de NSA zou gek zijn dat te doen. De dienst zou pas gewaarschuwd hebben toen het prog gestolen was.

EternalBlue kan gebruikt worden samen met andere NSA-maaksels om de digitale wereld te bespioneren die ook door Shadow Brokers op straat terecht zijn gekomen, zoals BlackPulsar dat zich diep in een computer ‘invreet’ waar het vaak onontdekt zijn duistere spionnenwerk kan doen.

Nieuwe toepassingen

Spul van de NSA is handzaam kraakgereedschap, maar je kunt er ook verder mee, zo blijkt. Zo zou EteralBlue gebruikt zijn om wachtwoorden te stelen of om op vuige wijze kryptomunten te delven. Dat gebeurde een paar dagen nadat het prog was ‘vrijgegeven’.
“WannaCry was een grote klap, maar daarvoor hadden e-krakers EternalBlue al gebruikt om machines te besmetten om er kryptomunten mee te delven”, zegt Jérôme Segura van Malwarebytes. “Er zijn ongetwijfeld een hoop machines op een of andere manier bij betrokken.”
Zelfs een jaar na de reparaties van Microsoft zijn nog steeds veel computers in dit opzicht onbeschermd. Deskundigen denken dat webboeven nog jaren toekunnen met dit handige inbreekmiddel.

Zo langzamerhand kan elke beetje bijdehante e-kraker beschikken over een goed gevulde gereedschapskist om zijnhaar veile werk op het wereldwijde web uit te kuren. Ook staten maken met graagte gebruik van die handige hulpjes van de NSA. Zo zou de, waarschijnlijk, Russische kraakgroep Fancy Bear ook met EternalBlue aan de slag zijn gegaan om wachtwoorden te stelen en andere gevoelige gegevens van, onder meer, Duitse ministeries via wifinetwerken van hotels.

Midden-Oosten

EternalBlue is mooi spul aangezien het vrijwel ongezien en onopgemerkt zijn werk doet. Vorige week meldde de webbeveiliger Symantec dat een Iraanse e-kraakgroep er mee aan de gang is geweest om er, onder meer, luchtvaartmaatschappijen en techbedrijven in het Midden-Oosten mee te bespioneren.
“Het is ongelooflijk dat een prog dat werd gebruikt door een overheidsdienst nu openbaar is en door zoveel kwaadwillenden wordt misbruikt”, zegt Vikram Thakur van Symantec. “Voor een e-kraker is het een hulpmiddel om het leven gemakkelijker te maken, bijvoorbeeld om de herkomst te maskeren. Het is voor ons moeilijk te bepalen waar de aanvallen vandaan komen.”
Deskundigen zien steeds meer slimme aanpassingen van een middel dat ooit bedoeld is om de wereld buiten Amerika te bespioneren. En maak je geen illusies. Zwaktes, kwetsbaarheden en lekken zullenhttps://www.wired.com/story/eternalblue-leaked-nsa-spy-tool-hacked-world er altijd zijn, maar het natuurlijk nogal ironisch dat er dit keer misbruik van wordt gemaakt door een hulpmiddel dat is ontwikkeld door een overheidsorganisatie die betaald wordt met belastinggeld.

Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *