Атака на Ubuntu из Ирана: Canonical, DDoS и безопасность открытого ПО

Когда новость об атаке на инфраструктуру Canonical появилась на экране, на втором мониторе в офисе у меня был открыт Launchpad. Обновляя зависимости пакетов в конвейере на базе Ubuntu, я заметил, что основные серверы не отвечают. Последовавшее сразу за этим заявление показало, что дело не в обычном сбое: группа, связанная с Ираном, атаковав Canonical, с помощью атаки на Ubuntu из Ирана не только вывела из строя сервисы, но и потребовала деньги, превратив инцидент в операцию по шантажу. Это событие, произошедшее в начале 2026 года, в очередной раз бросило нам в лицо горькую истину экосистемы открытого ПО: «всё бесплатно, но кто-то должен за это платить».

Как произошла атака на Ubuntu из Ирана

В первых числах мая 2026 года публикация в The Register подробно описывала DDoS-кампанию группы, поддерживаемой Ираном, против Canonical. Атака была куда более организованной, чем обычный всплеск трафика. Группа сначала взяла на прицел основные серверы загрузки Ubuntu, затем Launchpad и даже серверные службы Snap Store. Согласно отчёту TechRadar, после атаки некоторые ключевые сервисы стали полностью недоступны, а процесс восстановления занял несколько дней.

Если взглянуть на хронологию атаки, становится ясно, что это была не разовая вспышка, а кампания, длящаяся несколько дней. Первая волна началась с объёмной (volumetric) атаки на основные серверы загрузки Ubuntu. Затем под удар попали конечные точки репозиториев, откуда пользователи забирали списки пакетов. Как отмечает TechRadar, эта вторая волна была особенно вредоносной, поскольку таймауты команд apt заставили системных администраторов думать, что проблема в их собственной сети. Это задержало время реагирования.

По данным PCMag, выведя сервисы из строя, злоумышленники напрямую связались с Canonical и потребовали денег. На этом этапе инцидент перестал быть обычной активистской DDoS-атакой и превратился в полноценную операцию по вымогательству (extortion). Особенно поразили язык и методы, которые группа использовала при передаче требований; казалось, они были срисованы с инструкции корпоративной банды, занимающейся ransomware.

Атаки на инфраструктуру открытого ПО уже не просто идеологичны; они направлены на прямой финансовый доход. Это полностью меняет правила игры.

Подобные атаки мы раньше видели в меньшем масштабе на npm, PyPI или Docker Hub. Но то, что организация, поддерживающая крупнейший в мире дистрибутив Linux, как Canonical, надолго вышла из строя, вызвало резонанс в отрасли. Потому что Ubuntu — это не просто настольная операционная система; это позвоночник, простирающийся от AWS до Azure и до тысяч CI/CD-конвейеров. Для злоумышленников это был чрезвычайно эффективный объект с точки зрения масштаба воздействия.

Тактика шантажа и мотивация злоумышленников

Чтобы понять тактику шантажа, использованную злоумышленниками, нужно взглянуть на эволюцию групп в последние годы. Эта атака кибергруппы, связанной с Ираном, неудивительна; но то, что такие группы стали целить инфраструктуру открытого ПО и напрямую требовать деньги, — это новый рубеж. Обычно они фокусировались на государственных учреждениях, финансовом секторе или критической инфраструктуре. Причина же обращения к Canonical весьма прагматична: захватить в заложники платформу, обслуживающую миллионы машин по всему миру, крайне выгодно с точки зрения масштаба воздействия.

Тактика шантажа, применённая злоумышленниками, основана на классической стратегии двойной выгоды. Первичная цель — быстро получить выплату. Вторичная цель — в случае отказа от оплаты продать полученный доступ и потенциал для хаоса другим актёрам или выдать сам шантаж публике как «успех». Самый неочевидный аспект этого подхода в том, что злоумышленникам на самом деле не нужно быть технически очень сложными. Достаточно большого ботнета и технического долга в инфраструктуре цели — остальное происходит само собой.

Хотя содержание письма с требованиями не было полностью обнародовано, из сообщения PCMag следует, что группа угрожала перейти к «более агрессивному уровню» атаки в случае неуплаты. Эта угроза подразумевала не только полосу пропускания, но и целостность данных или потенциально более серьёзное нарушение безопасности. Для Canonical этот момент был критичен: если бы злоумышленники проникли в систему, DDoS мог быть лишь дымовой завесой. В последующих заявлениях утечка данных не была обнаружена, но в первые часы после инцидента провести такое различие было практически невозможно.

В прошлом мы видели, что Anonymous-Iran или подобные группы в основном занимались дефейсом и утечками данных. Теперь же с демократизацией рынка DDoS-for-hire группы при государственной поддержке тоже используют эти инструменты, пытаясь обеспечить финансовую устойчивость. Письмо с требованиями, полученное организацией вроде Canonical, вероятно, оценивалось в несколько биткоинов; но реальный ущерб крылся в репутационных потерях и сбоях, которые испытало глобальное сообщество пользователей.

Техническая подоплёка DDoS-атак

Когда мы погружаемся в технические детали, многие разработчики видят DDoS так же просто: «идёт много трафика, сервер падает». Но, судя по моему опыту в поле, современные DDoS-атаки — это многоуровневая операция. Объёмные (volumetric) атаки забивают полосу пропускания сети. Протокольные атаки заполняют таблицу соединений (connection table) файрволов при помощи SYN-flood или ACK-flood. Однако для такой цели, как Canonical, обычно наиболее эффективны атаки на седьмой уровень, то есть на уровень приложений (Layer 7).

В случае Canonical, вероятно, использовался метод прикладного давления в сочетании с рефлекторной амплификацией. Хотя это не такая классическая техника, как DNS- или NTP-амплификация, в дело могли вступить и более современные векторы, например HTTP/2 rapid reset. Самый неочевидный аспект этого подхода в том, что злоумышленник на самом деле использует в качестве оружия собственные легитимные протоколы цели. Запросы, имитирующие поведение Ubuntu Update Manager, невозможно заблокировать простым чёрным списком IP.

Интенсивные запросы к индексам пакетов Ubuntu или к конечным точкам метаданных Snap на вид выглядят как совершенно легитимный трафик. Но параллельные вызовы apt update с тысяч нод могут заблокировать серверную базу данных. Когда я впервые узнал об этом, я думал, что на небольшом VPS можно решить проблему простым rate limiting. Насколько я был неправ, я понял, лишь увидев, как origin-серверы за сетью anycast захлёбываются от нагрузки.

# Örnek: Nginx erişim loglarında anormal spike tespiti
# Tek bir IP'den değil, ama benzer User-Agent ve path deseninden gelen istekler

awk '{print $1, $6, $7}' /var/log/nginx/access.log | \
  grep "GET /ubuntu/dists/" | \
  sort | uniq -c | sort -nr | head -n 20

# Normalde 100-200 istek olan bir path, saldırı anında 
# saniyede binlerce kez tekrarlanıyor.

Большинство источников об этом умалчивают, но в защите от DDoS самый критичный момент — умение в реальном времени провести границу между «нормальным» и «аномальным». Потому что собственный механизм обновления Ubuntu изначально рассчитан на одновременный приём запросов с миллионов машин. Когда атакующий трафик смешивается с этим легитимным потоком, для разделения необходим поведенческий анализ. Кроме того, важна и мощность scrubbing-центра вашего upstream-провайдера. Если атака превышает 500 Гбит/с, а ваш договор ограничен 100 Гбит/с, любые технические меры бесполезны.

Инфраструктура Canonical и операции open source

Если задуматься о масштабе инфраструктуры Canonical, становится понятно, почему эта атака оказалась такой разрушительной. Несмотря на то что Canonical — коммерческая компания, она ведёт операции с пакетными репозиториями и базовыми сервисами Ubuntu по логике открытого ПО. Launchpad содержит тысячи ежедневных сборок для ARM и x86. Страницы Ubuntu Security Notices (USN) автоматически сканируются системными администраторами по всему миру. Прерывание работы любого из этих сервисов создаёт эффект домино.

Как подчёркивалось в публикации TechRadar, после атаки «некоторые сервисы всё ещё были недоступны» (down). Эта фраза на самом деле показывает, насколько сложна инфраструктура. В среде CI/CD, если upstream-репозиторий пакетов недоступен, сборки завершаются с ошибкой. Неудачные сборки останавливают конвейеры развёртывания (deployment pipeline). Это напрямую влияет на производственные среды. В одной компании X мы столкнулись с такой проблемой: доступ к архиву Ubuntu прервался на 2 часа, и процесс пересборки базовых образов наших микросервисов полностью встал. В тот день я узнал, что даже зеркала на DockerHub могут быть на заднем плане привязаны к Launchpad.

На протяжении атаки страница состояния Canonical и заявления в социальных сетях были для сообщества единственным источником информации. Однако здесь есть интересная деталь: сборочная ферма (build farm) Launchpad приостановила компиляцию пакетов, ожидающих в очереди во время атаки. Это повлияло и на downstream-проекты. Например, ежедневные сборки MicroK8s — дистрибутива Kubernetes на базе Ubuntu — задержались. Так началось движение первого камня домино.

Процесс реагирования и стратегия коммуникации Canonical были поучительными с точки зрения управления инцидентом. Но здесь важен один момент: операционные команды проектов открытого ПО обычно не имеют таких широких ресурсов, как SOC компаний из списка Fortune 500. Корпорация из Fortune 500 в момент атаки задействует работающий круглосуточно NOC и мгновенно активирует scrubbing-сервисы. В инфраструктуре же открытого ПО инцидентом, скорее всего, занимается горстка штатных инженеров и команда волонтёров. Эта асимметрия ресурсов является огромным преимуществом для злоумышленников.

Финансовый тупик безопасности открытого ПО

Эта асимметрия ресурсов — лишь одна сторона финансового тупика безопасности открытого ПО. Следя за этим событием, я задавался одним вопросом: примерно 40% мировой облачной инфраструктуры работает на Ubuntu. Так сколько же ресурсов выделяется на безопасность и отказоустойчивость столь критичной инфраструктуры? Ответ печален: катастрофически мало.

Проекты открытого ПО финансируются по принципу «кто-нибудь да следит». Хотя Canonical получает коммерческий доход от Snap и Ubuntu Pro, базовые архивные серверы и сервисы вроде Launchpad открыты для публики и в значительной степени бесплатны. Гиганты вроде AWS, Google Cloud и Microsoft Azure предоставляют свои образы Ubuntu миллионам клиентов; но львиная доля этого дохода не доходит до Canonical. Это мешает инвестициям в инфраструктуру соответствовать реальному профилю рисков.

Инфраструктура дистрибутивов Linux рассматривается как крупнейшее в мире «общественное благо»; но бюджеты на безопасность соответствуют уровню небольшого стартапа.

Похожую ситуацию мы наблюдали в 2021 году во время кризиса Log4j. Это была самая распространённая библиотека логирования в мире, а за ней работало лишь несколько волонтёров в режиме полного дня. С Canonical дела могут обстоять чуть лучше, ведь за ним стоит компания. Но даже у этой компании бюджет на инфраструктуру значительно ниже стоимости экономики, построенной на её продуктах. Злоумышленники это знают. Выбирая цели, они отдают предпочтение организациям с максимальным соотношением воздействие/бюджет.

Этот финансовый тупик присущ не только Canonical. Python Software Foundation, RubyGems и даже само ядро Linux сталкиваются с аналогичными ограничениями ресурсов. Разница в том, что Canonical, по крайней мере, является коммерческой структурой и, вероятно, увеличит бюджет на безопасность после этой атаки. Но что, если следующей целью станет проект, управляемый исключительно волонтёрами? Тогда последствия будут гораздо более тяжёлыми.

Инфраструктурная зависимость крупных компаний и риски

Вопрос финансирования касается не только казны Canonical; он напрямую влияет и на управление рисками компаний. Большинство enterprise-компаний, обсуждая безопасность цепочки поставок, изучают npm-пакеты или Docker-образы. Но они упускают из виду косвенную зависимость от самого дистрибьютора операционной системы, то есть от жизнеспособности такой организации, как Canonical. Воспринимать Ubuntu как «просто операционную систему» — всё равно что считать её «просто ремнём». Ремень порвётся — штаны упадут.

В период, когда я консультировал финтех-компанию, мы обнаружили, что все серверы в производственной среде постоянно подключены к security.ubuntu.com и archive.ubuntu.com. У нас не было собственных зеркал. Если бы однажды доступ к этим адресам пропал, исправления безопасности нельзя было бы применить автоматически. Только составление карты этой зависимости заняло у нас несколько недель. DDoS-атака на Canonical фактически косвенно ударяет по тысячам компаний, которые даже не подозревают о такой зависимости.

Ещё одна ошибка компаний — считать безопасными только «свой код» или «свои контейнеры». Но если операционная система, работающая внутри контейнера, не может получить обновление, даже самый чистый код становится уязвимым. Мне казалось, что мы усвоили этот урок после Log4Shell; но атака на Canonical показывает, что тот же урок нужно повторить и на уровне инфраструктуры.

Если выбирать между A и B; между хранением собственного зеркала пакетов и доверием к upstream, зеркало дорого, но снижает риски. Однако даже зеркало нуждается в метаданных upstream. То есть полностью независимую цепочку распространения можно построить только в масштабах enterprise. Для компаний малого и среднего бизнеса это может быть не «роскошью», а «невозможным». Именно поэтому отказоустойчивость upstream-провайдера становится вашей собственной отказоустойчивостью.

Меры по предотвращению подобных атак

Нужно искать ответ на вопрос, как ваша компания может защитить себя от подобной атаки на upstream, как на техническом, так и на стратегическом уровне. Прежде всего, защита от DDoS — это вопрос, который нужно рассматривать не только у себя на пороге, но и у порога ваших поставщиков. Для организации вроде Canonical рекомендации следующие:

• Расширение сети anycast: проведение scrubbing трафика на большем количестве точек присутствия (PoP) позволяет рассеять атаку до достижения origin-серверов.
• Rate limiting и поведенческий анализ: разработка собственных правил WAF, выявляющих аномальные паттерны в запросах к индексам пакетов.
• Multi-cloud failover: хранение активно-активных или активно-пассивных копий архивов и критических сервисов у разных облачных провайдеров.

Однако здесь технических мер недостаточно. Большинство источников об этом умалчивают, но модели финансирования инфраструктуры открытого ПО должны измениться. Крупные облачные провайдеры должны напрямую вкладываться в инфраструктуру используемых ими проектов с открытым кодом. Например, если бы AWS выделил часть своей CDN для архивов Ubuntu, это снизило бы затраты и повысило устойчивость. Или, что ещё лучше, в отрасли следует создать «фонд критической инфраструктуры открытого ПО».

Для операторов небольшого масштаба наиболее практичное решение — усилить стратегии локального кеширования. Инструменты вроде Apt-cacher-ng, Nexus Repository Manager или Artifactory позволяют вытягивать зависимости пакетов во внутреннюю сеть, что хотя бы сохраняет текущую работу при сбое upstream. Мой совет: не проектируйте механизмы обновления так, чтобы они были «постоянно подключены к upstream». Стратегия обновлений, работающая в offline-режиме, — это не просто мера безопасности, а политика непрерывности бизнеса.

В вопросе rate limiting важно знать поведение apt-клиентов. По умолчанию apt использует 6 параллельных соединений и забирает файлы из одного репозитория. Если с одного IP вы видите сотни разных User-Agent в секунду или постоянные HEAD-запросы к одному и тому же индексу пакетов, это признак аномалии. Правила WAF нужно настраивать с учётом этого. Но не забывайте: агрессивный rate limiting может повлиять и на легитимных пользователей. Найти этот баланс — самая сложная часть операции.

Атака на Ubuntu из Ирана и уроки для open source

За всеми этими техническими и операционными мерами главное, что должно измениться, — это мышление. Эта атака на Canonical должна стать сигналом для трезвой оценки сообществом open source. Много лет мы слышим аргумент, что «открытый код безопаснее, потому что его проверяет много глаз». Это может быть отчасти верно для безопасности кода; но для операционной безопасности это ничего не значит. Каким бы чистым ни был код, DDoS на серверы нацелен не на саму операционную систему, а на инфраструктуру, которая её распространяет.

Когда я это впервые осознал, я понял, что модели безопасности проектов открытого ПО полностью сфокусированы на коде. Операционная безопасность обычно оставлена на милость доброй воли волонтёров и жеста нескольких спонсоров. То, через что прошла Canonical, — это событие, которое ставит под сомнение границы этой модели. Недостаточно, чтобы компании воспринимали свой вклад в проекты open source только как коммиты кода или спонсорство конференций. Необходим вклад в инфраструктуру, полосу пропускания и операции безопасности.

В прошлом инциденты вроде Heartbleed, Shellshock и позже Log4j продемонстрировали уязвимости безопасности открытого ПО в плоскости кода. Событие с Canonical раскрыло операционную плоскость. Если рассматривать их вместе, безопасность open source должна восприниматься уже не только как «управление уязвимостями», но и как «управление отказоустойчивостью инфраструктуры».

В будущем критические проекты открытого ПО, возможно, должны будут получить статус «критической инфраструктуры» и поддерживающее его регулирование. Cyber Resilience Act Европейского союза — шаг в этом направлении. Но регулирования недостаточно; сам рынок должен начать ценообразование этих рисков. Облачный провайдер, полагающийся на Ubuntu, должен рассматривать здоровье upstream как часть своего SLA и инвестировать соответствующим образом.

На прошлой неделе, запуская в терминале команду sudo apt update, я задумался о том, насколько хрупким равновесием держатся тысячи серверов, маршрутизаторов и баз данных за ней. Атака, пережитая Canonical, была толчком, который встряхнул это хрупкое равновесие. Надеюсь, этот толчок станет не просто поводом для паники, но и началом устойчивых перемен.