Publiczna infrastruktura dystrybucji Linuksa Ubuntu oraz serwisy firmy Canonical zostały dotknięte znaczącą przerwą w działaniu wskutek ataku typu DDoS. Incydent rozpoczął się w czwartek i przez około 20 godzin powodował problemy z dostępem do niektórych stron oraz usług, z których korzystają użytkownicy systemu.
Co wiadomo o ataku
Canonical poinformowało na swojej stronie, że „web infrastructure is under a sustained, cross-border attack” i że pracuje nad rozwiązaniem problemu, jednocześnie zapowiadając dalsze komunikaty w oficjalnych kanałach. Nie podano szczegółów technicznych poza ogólną informacją o trwającym ataku. W zgłoszeniach na nieoficjalnym forum społeczności Ubuntu deweloperzy i użytkownicy dyskutowali o wpływie ataku na API bezpieczeństwa Ubuntu i dostępność wielu witryn Canonical.
- Atak określany jest jako DDoS — rozproszony atak polegający na zalewaniu celu nadmiernym ruchem.
- Grupa o nazwie The Islamic Cyber Resistance in Iraq 313 Team przyznała się do ataku na kanale Telegram.
- Sprawcy mieli użyć usługi DDoS-for-hire o nazwie Beamed, która reklamuje moce powyżej 3,5 Tbps.
- TechCrunch potwierdził, że testowy system Ubuntu nie mógł pobrać ani zainstalować aktualizacji podczas trwania awarii.
Jak atak wpływa na użytkowników Ubuntu
Bez dostępu do kluczowych serwisów sieciowych użytkownicy mogą napotkać problemy przy wykonywaniu standardowych operacji, takich jak pobieranie aktualizacji bezpieczeństwa, instalowanie nowych pakietów czy weryfikacja sygnatur. Według zgłoszeń w społeczności i weryfikacji medialnej, próby aktualizacji na co najmniej jednym urządzeniu testowym kończyły się niepowodzeniem — co w krótkiej perspektywie zwiększa ryzyko pozostawienia komputerów bez najnowszych poprawek.
Wpływ przerwy zależy od tego, które komponenty infrastruktury są niedostępne. W przypadku awarii serwerów mirrorów lub API bezpieczeństwa użytkownicy mogą odczuć utrudnienia zarówno przy zwykłych aktualizacjach, jak i przy operacjach związanych z zarządzaniem pakietami.
Kto stoi za atakiem i jak działają usługi 'DDoS‑for‑hire'
Do ataku przyznała się grupa określająca się jako The Islamic Cyber Resistance in Iraq 313 Team. Według deklaracji sprawcy korzystali z usługi oferującej ataki DDoS na zlecenie (tzw. booter lub stresser). Takie serwisy pozwalają zamawiającemu uruchomić atak bez własnej infrastruktury czy zaawansowanej wiedzy technicznej, dostarczając natomiast ruch sieciowy mający przeciążyć cel.
Usługi tego typu bywają reklamowane z dużymi wartościami przepustowości; w opisie użytego narzędzia pojawia się liczba rzędu 3,5 Tbps. Dla porównania, raporty branżowe wspominały wcześniej o atakach osiągających dwukrotnie większe wartości, które były określane jako jedne z największych odnotowanych.
Kontekst prawny i działania organów ścigania
Przez lata organy ścigania, w tym agencje międzynarodowe, prowadzą działania wymierzone w operatorów usług booter/stresser: likwidacje domen, przechwytywanie infrastruktury oraz, w wybranych przypadkach, zatrzymania osób odpowiedzialnych. Mimo tego problemu nadal pojawiają się nowe platformy ułatwiające przeprowadzanie ataków, co sprawia, że walka z tą formą cyberprzestępczości ma charakter ciągły.
Firmy i dostawcy usług internetowych stosują mechanizmy ograniczania skutków DDoS, takie jak filtrowanie ruchu, rozproszone cache’owanie czy współpraca z sieciami ochrony DDoS. Jednak skuteczność ochrony zależy od rodzaju ataku, jego skali i możliwości obronnych konkretnego operatora.
Canonical zadeklarowało pracę nad przywróceniem normalnego działania, ale nie udzieliło dodatkowego komentarza poza komunikatem o ataku. Redakcja serwisu technologicznego, który opisał zdarzenie, zgłosiła również brak odpowiedzi na prośbę o komentarz.
W najbliższym czasie należy spodziewać się kolejnych komunikatów firmy oraz obserwować oficjalne kanały Ubuntu i Canonical. Użytkownicy powinni na bieżąco śledzić informacje o dostępności usług i, gdy to możliwe, stosować dostępne środki ograniczające ryzyko — np. korzystanie z lokalnych mirrorów, tymczasowe rozwiązania offline dla krytycznych systemów lub przywracanie aktualizacji po wznowieniu dostępności serwisów.
