Image: SQ Magazine
Сервери Ubuntu та її материнської компанії Canonical були виведені з ладу в четвер вранці і відтоді залишаються недоступними — ситуація, яка заважає постачальнику ОС нормально спілкуватися після невдалого розкриття інформації про серйозну вразливість.
Спроби підключитися до більшості вебсторінок Ubuntu та Canonical і завантажити оновлення ОС із серверів Ubuntu стабільно зазнавали невдачі впродовж останнього часу. Оновлення з дзеркальних сайтів, однак, продовжують працювати в штатному режимі. Сторінка статусу Canonical повідомляє:
“Вебінфраструктура Canonical зазнає тривалої транскордонної атаки, і ми працюємо над її усуненням”.
Крім цього, представники Ubuntu та Canonical зберігають повне мовчання з моменту початку збою.
Відповідальність за збій взяла на себе група, що симпатизує іранському уряду. Згідно з дописами в Telegram та інших соціальних мережах, група здійснила DDoS-атаку з використанням Beam — операції, яка нібито тестує здатність серверів працювати під великим навантаженням, але, як і інші “стресори”, насправді є прикриттям для сервісів, за допомогою яких зловмисники оплачують виведення з ладу сторонніх сайтів. Останніми днями та сама проіранська група взяла на себе відповідальність за DDoS-атаки на eBay.
Інфраструктура Ubuntu та Canonical вийшла з ладу через кілька годин після того, як дослідники опублікували потужний експлойт-код, що дозволяв непривілейованим користувачам у дата-центрах, університетах та інших середовищах отримати повний контроль root над серверами, що працюють практично на всіх дистрибутивах Linux, включно з Ubuntu. За словами модератора на AskUbuntu.com, серед URL-адрес, які залишались недоступними:
Збій обмежив здатність Ubuntu доводити до відома користувачів рекомендації щодо безпеки. Як зазначалося раніше, оновлення залишаються доступними на дзеркальних сайтах. Сайти-стресори, відомі також як буттер-сайти, діють упродовж десятиліть. DDoS-as-a-service-оператори неодноразово потрапляли в поле зору правоохоронних органів різних країн, однак спроби покласти край цій напасті так і не увінчалися успіхом.
Незрозуміло, чому інфраструктура залишається недоступною так довго. Існує чимало сервісів захисту від DDoS, принаймні один з яких є безкоштовним.
Група 313 Team, відома також як Islamic Cyber Resistance, пов’язана з іранським Міністерством розвідки та безпеки (MOIS). Вона була вперше зафіксована у грудні 2023 року — невдовзі після початку конфлікту у Газі. За минулі місяці хакери атакували Bluesky, низку кувейтських урядових доменів, саудівські банки та Kuwait International Airport. Сама атака на Canonical вийшла далеко за межі простого зупинення сервісів. Група надіслала в свій Telegram-канал повідомлення безпосередньо до Canonical:
“Є простий вихід. Ми надіслали вам листа з нашим контактним ID у Session. Якщо ви не вийдете на зв’язок — ми продовжимо наш наступ. Ви у жахливому становищі — не будьте дурнями.”
Сервіс Beamed, яким скористалися зловмисники, заявляє про здатність генерувати атаки потужністю понад 3,5 Тбіт/с — це приблизно половина від рекордної DDoS-атаки, яку Cloudflare минулого року назвав “найбільшою в історії”.
Постраждали, окрім серверів Ubuntu, також Snap Store, Snapcraft, Launchpad, maas.io, Livepatch API та Landscape. Дзеркала APT та ISO-завантаження при цьому продовжували працювати. Canonical публічно не підтвердила факт отримання вимоги про викуп.
Аналітики звернули увагу не лише на обсяг трафіку, спрямованого на сервери Canonical, а й на принципово інший характер атаки: хакери цілеспрямовано вдарили по інфраструктурі оновлень безпеки і додали до цього конкретні умови. DDoS, що паралізує лише головну сторінку сайту, — це незручність. DDoS, що вибірково б’є по інфраструктурі патчів та доповнюється ультиматумом, — це вже зовсім інша проблема.
Станом на вечір 2 травня Canonical офіційного підтвердження відновлення роботи сервісів не надавала і терміни усунення збою не оголошувала.
Джерело: ArsTechnica
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.