Іранські хакери атакували Ubuntu: найпоширеніший Linux-дистрибутив досі не відновився повністю.

Image: SQ Magazine

Сервери Ubuntu та її материнської компанії Canonical були виведені з ладу в четвер вранці і з тих пір залишаються недоступними — ситуація, що ускладнює комунікацію постачальника ОС після невдалого розкриття інформації про серйозну вразливість.

Спроби підключитися до більшості вебсторінок Ubuntu та Canonical і завантажити оновлення ОС з серверів Ubuntu стабільно зазнавали невдачі в останній час. Оновлення з дзеркальних сайтів, однак, продовжують працювати в звичайному режимі. Сторінка статусу Canonical повідомляє:

“Вебінфраструктура Canonical піддається тривалій транскордонній атаці, і ми працюємо над її усуненням”.

Крім того, представники Ubuntu та Canonical зберігають повне мовчання з моменту початку збою.

Багатодесятилітнє прокляття

Відповідальність за збій взяла на себе група, що підтримує іранський уряд. Згідно з повідомленнями в Telegram та інших соціальних мережах, група здійснила DDoS-атаку з використанням Beam — операції, яка нібито перевіряє здатність серверів працювати під великим навантаженням, але, як і інші “стресори”, насправді є прикриттям для сервісів, за допомогою яких зловмисники оплачують виведення з ладу сторонніх сайтів. Останніми днями та сама проіранська група взяла на себе відповідальність за DDoS-атаки на eBay.

Інфраструктура Ubuntu та Canonical вийшла з ладу через кілька годин після того, як дослідники опублікували потужний експлойт-код, що дозволяв непривілейованим користувачам у дата-центрах, університетах та інших середовищах отримати повний контроль root над серверами, що працюють практично на всіх дистрибутивах Linux, включно з Ubuntu. За словами модератора на AskUbuntu.com, серед URL-адрес, які залишались недоступними:

• security.ubuntu.com
• archive.ubuntu.com
• canonical.com
• blog.ubuntu.com
• developer.ubuntu.com
• Ubuntu Security API — CVE
• Ubuntu Security API — повідомлення
• academy.canonical.com
• ubuntu.com
• portal.canonical.com
• assets.ubuntu.com

Збій обмежив здатність Ubuntu інформувати користувачів про рекомендації щодо безпеки. Як зазначалося раніше, оновлення залишаються доступними на дзеркальних сайтах. Сайти-стресори, відомі також як буттер-сайти, функціонують протягом десятиліть. Оператори DDoS-as-a-service неодноразово потрапляли в поле зору правоохоронних органів різних країн, однак спроби покласти край цій напасті так і не увінчалися успіхом.

Невідомо, чому інфраструктура залишається недоступною так довго. Існує чимало сервісів захисту від DDoS, принаймні один з яких є безкоштовним.

Хактивізм переріс у вимагання

Група 313 Team, також відома як Islamic Cyber Resistance, пов’язана з іранським Міністерством розвідки та безпеки (MOIS). Вона була вперше зафіксована у грудні 2023 року — незабаром після початку конфлікту у Газі. За останні місяці хакери атакували Bluesky, низку кувейтських урядових доменів, саудівські банки та Kuwait International Airport. Сама атака на Canonical вийшла далеко за межі простого зупинення сервісів. Група надіслала в свій Telegram-канал повідомлення безпосередньо до Canonical:

СпецпроєктиОгляд електросамокату Proove Model City Pulse 350W: нічого зайвого, тільки рухНовий конкурс авторів ITC.ua: напиши допис та виграй крутий електросамокат і техніку від Proove

“Є простий вихід. Ми надіслали вам листа з нашим контактним ID у Session. Якщо ви не вийдете на зв’язок — ми продовжимо наш наступ. Ви у жахливому становищі — не будьте дурнями.”

Сервіс Beamed, яким скористалися зловмисники, заявляє про здатність генерувати атаки потужністю понад 3,5 Тбіт/с — це приблизно половина від рекордної DDoS-атаки, яку Cloudflare минулого року назвав “найбільшою в історії”.

Постраждали, окрім серверів Ubuntu, також Snap Store, Snapcraft, Launchpad, maas.io, Livepatch API та Landscape. Дзеркала APT та ISO-завантаження при цьому продовжували працювати. Canonical публічно не підтвердила факт отримання вимоги про викуп.

Збіг чи стратегія?

Аналітики звернули увагу не лише на обсяг трафіку, спрямованого на сервери Canonical, а й на принципово інший характер атаки: хакери цілеспрямовано вдарили по інфраструктурі оновлень безпеки і додали до цього конкретні умови. DDoS, що паралізує лише головну сторінку сайту, — це незручність. DDoS, що вибірково б’є по інфраструктурі патчів та доповнюється ультиматумом, — це вже зовсім інша проблема.

Станом на вечір 2 травня Canonical офіційного підтвердження відновлення роботи сервісів не надала і терміни усунення збою не оголошувала.

ШІ йде в Linux: плани Ubuntu звучать напрочуд розумно

Джерело: ArsTechnica