Image: SQ Magazine
Серверы Ubuntu и ее материнской компании Canonical были выведены из строя в четверг утром и с тех пор остаются недоступными — ситуация, которая мешает поставщику ОС нормально общаться после неудачного раскрытия информации о серьезной уязвимости.
Попытки подключиться к большинству веб-страниц Ubuntu и Canonical и загрузить обновления ОС с серверов Ubuntu стабильно испытывали неудачи в последнее время. Обновления с зеркальных сайтов, однако, продолжают работать в штатном режиме. Страница статуса Canonical сообщает:
«Вебинфраструктура Canonical подвергается длительной трансграничной атаке, и мы работаем над ее устранением».
Кроме этого, представители Ubuntu и Canonical хранят полное молчание с момента начала сбоя.
Ответственность за сбой взяла на себя группа, симпатизирующая иранскому правительству. Согласно сообщениям в Telegram и других социальных сетях, группа осуществила DDoS-атаку с использованием Beam — операции, которая якобы тестирует способность серверов работать под большой нагрузкой, но, как и другие «стрессоры», на самом деле являются прикрытием для сервисов, с помощью которых злоумышленники оплачивают вывод из строя сторонних сайтов. В последние дни та же проиранская группа взяла на себя ответственность за DDoS-атаки на eBay.
Инфраструктура Ubuntu и Canonical вышла из строя через несколько часов после того, как исследователи опубликовали мощный эксплойт-код, позволявший непривилегированным пользователям в дата-центрах, университетах и других средах получить полный контроль root над серверами, работающими практически на всех дистрибутивах Linux, включая Ubuntu. По словам модератора на AskUbuntu.com, среди URL-адресов, которые оставались недоступными:
Сбой ограничил способность Ubuntu доводить до сведения пользователей рекомендации по безопасности. Как отмечалось ранее, обновления остаются доступными на зеркальных сайтах. Сайты-стрессоры, известные также как буттер-сайты, действуют на протяжении десятилетий. DDoS-as-a-service-операторы неоднократно попадали в поле зрения правоохранительных органов разных стран, однако попытки положить конец этой напасти так и не увенчались успехом.
Непонятно, почему инфраструктура остается недоступной так долго. Существует немало сервисов защиты от DDoS, по крайней мере один из которых является бесплатным.
Группа 313 Team, известная также как Islamic Cyber Resistance, связана с иранским Министерством разведки и безопасности (MOIS). Она была впервые зафиксирована в декабре 2023 года — вскоре после начала конфликта в Газе. За прошедшие месяцы хакеры атаковали Bluesky, ряд кувейтских правительственных доменов, саудовские банки и Kuwait International Airport. Сама атака на Canonical вышла далеко за пределы простой остановки сервисов. Группа направила в свой Telegram-канал сообщение непосредственно в Canonical:
«Есть простой выход. Мы отправили вам письмо с нашим контактным ID в Session. Если вы не выйдете на связь — мы продолжим наше наступление. Вы в ужасном положении — не будьте дураками.»
Сервис Beamed, которым воспользовались злоумышленники, заявляет о способности генерировать атаки мощностью более 3,5 Тбит/с — это примерно половина от рекордной DDoS-атаки, которую Cloudflare в прошлом году назвал «крупнейшей в истории».
Пострадали, кроме серверов Ubuntu, также Snap Store, Snapcraft, Launchpad, maas.io, Livepatch API и Landscape. Зеркала APT и ISO-загрузки при этом продолжали работать. Canonical публично не подтвердила факт получения требования о выкупе.
Аналитики обратили внимание не только на объем трафика, направленного на серверы Canonical, но и на принципиально иной характер атаки: хакеры целенаправленно ударили по инфраструктуре обновлений безопасности и добавили к этому конкретные условия. DDoS, который парализует только главную страницу сайта, — это неудобство. DDoS, выборочно бьющий по инфраструктуре патчей и дополняемый ультиматумом, — это уже совсем другая проблема.
По состоянию на вечер 2 мая Canonical официального подтверждения восстановления работы сервисов не предоставляла и сроки устранения сбоя не объявляла.
Источник: ArsTechnica
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.