Сервери Ubuntu та її материнської компанії Canonical були виведені з ладу в четвер вранці і з того часу залишаються недоступними — ситуація, яка ускладнює комунікацію постачальника ОС після невдалого розкриття інформації про серйозну вразливість.
Спроби підключитися до більшості вебсторінок Ubuntu та Canonical і завантажити оновлення ОС з серверів Ubuntu стабільно зазнавали невдачі останнім часом. Оновлення з дзеркальних сайтів, проте, продовжують працювати в звичайному режимі. Сторінка статусу Canonical повідомляє:
“Вебінфраструктура Canonical зазнає тривалої транскордонної атаки, і ми працюємо над її усуненням”.
Крім того, представники Ubuntu та Canonical залишаються мовчазними з моменту початку проблеми.
Багатодесятилітнє прокляття
Відповідальність за збій взяла на себе група, що підтримує іранський уряд. Згідно з дописами в Telegram та інших соціальних мережах, група здійснила DDoS-атаку з використанням Beam — операції, яка нібито тестує здатність серверів працювати під великим навантаженням, але, як і інші “стресори”, насправді є прикриттям для сервісів, за допомогою яких зловмисники здійснюють атаки на сторонні сайти. Останніми днями ця ж проіранська група взяла на себе відповідальність за DDoS-атаки на eBay.
Інфраструктура Ubuntu та Canonical вийшла з ладу через кілька годин після того, як дослідники опублікували потужний експлойт-код, що дозволяв непривілейованим користувачам у дата-центрах, університетах та інших середовищах отримати повний контроль root над серверами, що працюють практично на всіх дистрибутивах Linux, включно з Ubuntu. За словами модератора на AskUbuntu.com, серед URL-адрес, які залишались недоступними:
- security.ubuntu.com
- archive.ubuntu.com
- canonical.com
- blog.ubuntu.com
- developer.ubuntu.com
- Ubuntu Security API — CVE
- Ubuntu Security API — повідомлення
- academy.canonical.com
- ubuntu.com
- portal.canonical.com
- assets.ubuntu.com
Збій обмежив можливість Ubuntu інформувати користувачів про рекомендації щодо безпеки. Як зазначалося раніше, оновлення залишаються доступними на дзеркальних сайтах. Сайти-стресори, відомі також як буттер-сайти, існують протягом десятиліть. Оператори DDoS-as-a-service неодноразово потрапляли в поле зору правоохоронних органів різних країн, але спроби покласти край цій проблемі так і не увінчалися успіхом.
Невідомо, чому інфраструктура залишається недоступною так довго. Існує безліч сервісів захисту від DDoS, принаймні один з яких є безкоштовним.
Хактивізм переріс у вимагання
Група 313 Team, також відома як Islamic Cyber Resistance, пов’язана з іранським Міністерством розвідки та безпеки (MOIS). Вона була вперше зафіксована у грудні 2023 року — незабаром після початку конфлікту у Газі. За останні місяці хакери атакували Bluesky, низку кувейтських урядових доменів, банки Саудівської Аравії та Kuwait International Airport. Атака на Canonical вийшла далеко за межі простого зупинення сервісів. Група надіслала в свій Telegram-канал повідомлення безпосередньо до Canonical:
СпецпроєктиТравневий суперрозпродаж Blackview на AliExpress: новітні смартфони з Android 15 та знижки до 40%Ресайкл-споти Києва: куди нести техніку, батарейки і гаджети
“Є простий вихід. Ми надіслали вам листа з нашим контактним ID у Session. Якщо ви не вийдете на зв’язок — ми продовжимо наш наступ. Ви у жахливому становищі — не будьте дурнями.”
Сервіс Beamed, яким скористалися зловмисники, заявляє про здатність генерувати атаки потужністю понад 3,5 Тбіт/с — це приблизно половина від рекордної DDoS-атаки, яку Cloudflare минулого року назвав “найбільшою в історії”.
Постраждали, окрім серверів Ubuntu, також Snap Store, Snapcraft, Launchpad, maas.io, Livepatch API та Landscape. Дзеркала APT та ISO-завантаження при цьому продовжували працювати. Canonical публічно не підтвердила факт отримання вимоги про викуп.
Збіг чи стратегія?
Аналітики звернули увагу не лише на обсяг трафіку, спрямованого на сервери Canonical, а й на принципово інший характер атаки: хакери цілеспрямовано вдарили по інфраструктурі оновлень безпеки і додали до цього конкретні умови. DDoS, що паралізує лише головну сторінку сайту, — це незручність. DDoS, що вибірково б’є по інфраструктурі патчів та доповнюється ультиматумом, — це вже зовсім інша проблема.
Станом на вечір 2 травня Canonical офіційного підтвердження відновлення роботи сервісів не надала і терміни усунення збою не оголошувала.
ШІ йде в Linux: плани Ubuntu звучать напрочуд розумно
Джерело: ArsTechnica
Цікаво, як довго Canonical зможе приховувати проблему без офіційних коментарів. Вразливість Ubuntu справді ставить під загрозу довіру користувачів. Сподіваюся, швидко відновлять роботу серверів.
Canonical зазвичай оперативно реагує на загрози, хоча офіційні оновлення іноді затримуються задля ретельної перевірки. Важливо слідкувати за офіційними каналами, щоб отримувати актуальну інформацію та оновлення безпеки.