Іранські хакери атакували Ubuntu: найпоширеніший Linux-дистрибутив досі не відновився повністю.

Image: SQ Magazine

Сервери Ubuntu та її материнської компанії Canonical були виведені з ладу в четвер вранці і з того часу залишаються недоступними — ситуація, яка ускладнює комунікацію постачальника ОС після невдалого розкриття інформації про серйозну вразливість.

Спроби підключитися до більшості вебсторінок Ubuntu та Canonical і завантажити оновлення ОС з серверів Ubuntu стабільно зазнавали невдачі останнім часом. Оновлення з дзеркальних сайтів, проте, продовжують працювати в звичайному режимі. Сторінка статусу Canonical повідомляє:

“Вебінфраструктура Canonical зазнає тривалої транскордонної атаки, і ми працюємо над її усуненням”.

Крім того, представники Ubuntu та Canonical залишаються мовчазними з моменту початку проблеми.

Багатодесятилітнє прокляття

Відповідальність за збій взяла на себе група, що підтримує іранський уряд. Згідно з дописами в Telegram та інших соціальних мережах, група здійснила DDoS-атаку з використанням Beam — операції, яка нібито тестує здатність серверів працювати під великим навантаженням, але, як і інші “стресори”, насправді є прикриттям для сервісів, за допомогою яких зловмисники здійснюють атаки на сторонні сайти. Останніми днями ця ж проіранська група взяла на себе відповідальність за DDoS-атаки на eBay.

Інфраструктура Ubuntu та Canonical вийшла з ладу через кілька годин після того, як дослідники опублікували потужний експлойт-код, що дозволяв непривілейованим користувачам у дата-центрах, університетах та інших середовищах отримати повний контроль root над серверами, що працюють практично на всіх дистрибутивах Linux, включно з Ubuntu. За словами модератора на AskUbuntu.com, серед URL-адрес, які залишались недоступними:

• security.ubuntu.com
• archive.ubuntu.com
• canonical.com
• blog.ubuntu.com
• developer.ubuntu.com
• Ubuntu Security API — CVE
• Ubuntu Security API — повідомлення
• academy.canonical.com
• ubuntu.com
• portal.canonical.com
• assets.ubuntu.com

Збій обмежив можливість Ubuntu інформувати користувачів про рекомендації щодо безпеки. Як зазначалося раніше, оновлення залишаються доступними на дзеркальних сайтах. Сайти-стресори, відомі також як буттер-сайти, існують протягом десятиліть. Оператори DDoS-as-a-service неодноразово потрапляли в поле зору правоохоронних органів різних країн, але спроби покласти край цій проблемі так і не увінчалися успіхом.

Невідомо, чому інфраструктура залишається недоступною так довго. Існує безліч сервісів захисту від DDoS, принаймні один з яких є безкоштовним.

Хактивізм переріс у вимагання

Група 313 Team, також відома як Islamic Cyber Resistance, пов’язана з іранським Міністерством розвідки та безпеки (MOIS). Вона була вперше зафіксована у грудні 2023 року — незабаром після початку конфлікту у Газі. За останні місяці хакери атакували Bluesky, низку кувейтських урядових доменів, банки Саудівської Аравії та Kuwait International Airport. Атака на Canonical вийшла далеко за межі простого зупинення сервісів. Група надіслала в свій Telegram-канал повідомлення безпосередньо до Canonical:

СпецпроєктиТравневий суперрозпродаж Blackview на AliExpress: новітні смартфони з Android 15 та знижки до 40%Ресайкл-споти Києва: куди нести техніку, батарейки і гаджети

“Є простий вихід. Ми надіслали вам листа з нашим контактним ID у Session. Якщо ви не вийдете на зв’язок — ми продовжимо наш наступ. Ви у жахливому становищі — не будьте дурнями.”

Сервіс Beamed, яким скористалися зловмисники, заявляє про здатність генерувати атаки потужністю понад 3,5 Тбіт/с — це приблизно половина від рекордної DDoS-атаки, яку Cloudflare минулого року назвав “найбільшою в історії”.

Постраждали, окрім серверів Ubuntu, також Snap Store, Snapcraft, Launchpad, maas.io, Livepatch API та Landscape. Дзеркала APT та ISO-завантаження при цьому продовжували працювати. Canonical публічно не підтвердила факт отримання вимоги про викуп.

Збіг чи стратегія?

Аналітики звернули увагу не лише на обсяг трафіку, спрямованого на сервери Canonical, а й на принципово інший характер атаки: хакери цілеспрямовано вдарили по інфраструктурі оновлень безпеки і додали до цього конкретні умови. DDoS, що паралізує лише головну сторінку сайту, — це незручність. DDoS, що вибірково б’є по інфраструктурі патчів та доповнюється ультиматумом, — це вже зовсім інша проблема.

Станом на вечір 2 травня Canonical офіційного підтвердження відновлення роботи сервісів не надала і терміни усунення збою не оголошувала.

ШІ йде в Linux: плани Ubuntu звучать напрочуд розумно

Джерело: ArsTechnica