Серверы Ubuntu и ее материнской компании Canonical были выведены из строя в четверг утром и с тех пор остаются недоступными — ситуация, которая мешает поставщику ОС нормально общаться после неудачного раскрытия информации о серьезной уязвимости.
Попытки подключиться к большинству веб-страниц Ubuntu и Canonical и загрузить обновления ОС с серверов Ubuntu стабильно испытывали неудачи в последнее время. Обновления с зеркальных сайтов, однако, продолжают работать в штатном режиме. Страница статуса Canonical сообщает:
«Вебинфраструктура Canonical подвергается длительной трансграничной атаке, и мы работаем над ее устранением».
Кроме этого, представители Ubuntu и Canonical хранят полное молчание с момента начала сбоя.
Многодесятилетнее проклятие
Ответственность за сбой взяла на себя группа, симпатизирующая иранскому правительству. Согласно сообщениям в Telegram и других социальных сетях, группа осуществила DDoS-атаку с использованием Beam — операции, которая якобы тестирует способность серверов работать под большой нагрузкой, но, как и другие «стрессоры», на самом деле являются прикрытием для сервисов, с помощью которых злоумышленники оплачивают вывод из строя сторонних сайтов. В последние дни та же проиранская группа взяла на себя ответственность за DDoS-атаки на eBay.
Инфраструктура Ubuntu и Canonical вышла из строя через несколько часов после того, как исследователи опубликовали мощный эксплойт-код, позволявший непривилегированным пользователям в дата-центрах, университетах и других средах получить полный контроль root над серверами, работающими практически на всех дистрибутивах Linux, включая Ubuntu. По словам модератора на AskUbuntu.com, среди URL-адресов, которые оставались недоступными:
- security.ubuntu.com
- archive.ubuntu.com
- canonical.com
- blog.ubuntu.com
- developer.ubuntu.com
- Ubuntu Security API — CVE
- Ubuntu Security API — сообщение
- academy.canonical.com
- ubuntu.com
- portal.canonical.com
- assets.ubuntu.com
Сбой ограничил способность Ubuntu доводить до сведения пользователей рекомендации по безопасности. Как отмечалось ранее, обновления остаются доступными на зеркальных сайтах. Сайты-стрессоры, известные также как буттер-сайты, действуют на протяжении десятилетий. DDoS-as-a-service-операторы неоднократно попадали в поле зрения правоохранительных органов разных стран, однако попытки положить конец этой напасти так и не увенчались успехом.
Непонятно, почему инфраструктура остается недоступной так долго. Существует немало сервисов защиты от DDoS, по крайней мере один из которых является бесплатным.
Хактивизм перерос в вымогательство
Группа 313 Team, известная также как Islamic Cyber Resistance, связана с иранским Министерством разведки и безопасности (MOIS). Она была впервые зафиксирована в декабре 2023 года — вскоре после начала конфликта в Газе. За прошедшие месяцы хакеры атаковали Bluesky, ряд кувейтских правительственных доменов, саудовские банки и Kuwait International Airport. Сама атака на Canonical вышла далеко за пределы простой остановки сервисов. Группа направила в свой Telegram-канал сообщение непосредственно в Canonical:
СпецпроектыОгляд електросамокату Proove Model City Pulse 350W: нічого зайвого, тільки рухBitget: Як обрати брокера, який не грає проти вас. Гайд по B-Book, STP і Bitget CFD
«Есть простой выход. Мы отправили вам письмо с нашим контактным ID в Session. Если вы не выйдете на связь — мы продолжим наше наступление. Вы в ужасном положении — не будьте дураками.»
Сервис Beamed, которым воспользовались злоумышленники, заявляет о способности генерировать атаки мощностью более 3,5 Тбит/с — это примерно половина от рекордной DDoS-атаки, которую Cloudflare в прошлом году назвал «крупнейшей в истории».
Пострадали, кроме серверов Ubuntu, также Snap Store, Snapcraft, Launchpad, maas.io, Livepatch API и Landscape. Зеркала APT и ISO-загрузки при этом продолжали работать. Canonical публично не подтвердила факт получения требования о выкупе.
Совпадение или стратегия?
Аналитики обратили внимание не только на объем трафика, направленного на серверы Canonical, но и на принципиально иной характер атаки: хакеры целенаправленно ударили по инфраструктуре обновлений безопасности и добавили к этому конкретные условия. DDoS, который парализует только главную страницу сайта, — это неудобство. DDoS, выборочно бьющий по инфраструктуре патчей и дополняемый ультиматумом, — это уже совсем другая проблема.
По состоянию на вечер 2 мая Canonical официального подтверждения восстановления работы сервисов не предоставляла и сроки устранения сбоя не объявляла.
ШІ йде в Linux: плани Ubuntu звучать напрочуд розумно
Источник: ArsTechnica
