Хакеры положили Ubuntu в момент, когда вышел эксплойт с root-доступом к Linux

Серверы Ubuntu и Canonical остаются недоступными вторые сутки из-за продолжительной DDoS-атаки, ответственность за которую по сообщениям в соцсетях взяла проиранская группировка. Сбой затронул сайты, репозитории, сервисы безопасности и инфраструктуру обновлений. Ситуация стала особенно острой после публикации эксплойта для серьёзной уязвимости в Linux, и распространение предупреждений о защите оказалось сорвано.

Проблемы начались в четверг утром с момента отключения сайтов Ubuntu и Canonical. В тот же период пользователи столкнулись с невозможностью скачивать обновления операционной системы напрямую с серверов компании. На странице статуса Canonical и в соцсети X появилось короткое сообщение о продолжительной трансграничной атаке на веб-инфраструктуру компании. Дополнительные подробности представители Ubuntu и Canonical пока не раскрывают.

Интересно, что атака пришлась бы практически в одну минуту с публикацией эксплойта, открывающего root-доступ к серверу почти под любым дистрибутивом Linux.

По сообщениям в Telegram и других соцсетях, атаку провела проиранская хакерская группировка с использованием сервиса Beam. Формально подобные площадки часто называют инструментами для проверки серверов под нагрузкой. На практике стрессеры и бутеры давно стали серым рынком DDoS-услуг с возможностью заказать перегрузку чужого сайта или сервиса за деньги. Та же группировка недавно заявляла о причастности к атакам на eBay.

Модератор Ask Ubuntu рассказал о масштабе сбоя и перечислил недоступные ресурсы:

• ubuntu.com и canonical.com;
• security.ubuntu.com и archive.ubuntu.com;
• blog.ubuntu.com и developer.ubuntu.com;
• portal.canonical.com и academy.canonical.com;
• assets.ubuntu.com, jaas.ai, maas.io;
• Ubuntu Security API для отслеживания CVE.

Последний ресурс заслуживает отдельного внимания, поскольку используется для уведомлений по защите пользователей и контроля известных уязвимостей.

Сбой оказался крайне неудачным по времени. Инфраструктура Ubuntu отключилась через несколько часов после публикации исследователями кода эксплойта для серьёзной уязвимости в Linux. По описанию, он позволяет обычным пользователям в дата-центрах, университетах и других средах получить полный root-доступ к серверам почти под любым дистрибутивом Linux, в том числе под Ubuntu.

Пока основные сайты не работают, Ubuntu не может в привычном режиме донести до пользователей предупреждения и инструкции по защите. Обновления продолжают поступать через зеркала, но картина обнажила слабое место даже у крупных open source-проектов. Падение центральной инфраструктуры в момент раскрытия опасной уязвимости ставит администраторов в крайне неудобное положение.

DDoS-сервисы как платная услуга существуют уже много лет. Правоохранительные органы разных стран регулярно пытаются их закрывать, но рынок продолжает жить и адаптируется по нескольким направлениям:

• появление новых анонимных площадок взамен закрытых;
• смена доменов и хостинговых провайдеров;
• использование анонимных и криптовалютных платежей;
• стабильный спрос со стороны разных группировок;
• расширение арсенала за счёт IoT-ботнетов и заражённых маршрутизаторов.

Атака на Ubuntu показывает, что даже технически зрелая инфраструктура сталкивается с долгим простоем при достаточно мощном и распределённом ударе.

Ранее сообщалось о применении Claude, ChatGPT и GPT-4.1 киберпреступниками для взлома 9 государственных ведомств Мексики и кражи сотен миллионов записей персональных данных. Исследовательская фирма Gambit Security указывала на длительность операции с декабря 2025 года до середины февраля 2026 года и затронутые федеральные и региональные структуры. Подобный пример наглядно показывает ускорение подготовки атак за счёт ИИ.

Также ранее компания Lumen отмечала закрепление преступников не на рабочих станциях сотрудников, а на маршрутизаторах, VPN-шлюзах и другой периферийной инфраструктуре. В отчёте Lumen Threatscape за 2026 год говорилось о слабой защите периферийных элементов и о роли генеративных ИИ-инструментов в быстрой адаптации вредоносного кода. Для атак на крупные сервисы и цепочки поставок подобная тактика особенно опасна.

Интересно, что современные DDoS-кампании всё чаще выглядят как стратегические удары по самым чувствительным точкам, а не как обычные шумные атаки на сайт ради шантажа.

Positive Technologies ранее фиксировала новую волну атак группировки CapFix с конца 2025 года по март 2026 года. Эксперты указывали на применение обновлённых инструментов и скомпрометированной инфраструктуры с вероятным доступом через критически опасную уязвимость в Roundcube Webmail. Целями атак осенью 2025 года назывались российские компании из сфер промышленности и авиастроения.

Для администраторов Linux текущая ситуация с Ubuntu требует особого внимания к альтернативным каналам поддержки. Грамотный план действий состоит из нескольких пунктов:

• мониторинг состояния зеркал репозиториев в реальном времени;
• проверка статуса основной инфраструктуры Canonical;
• использование внутренних корпоративных репозиториев;
• отслеживание сообщений команд сопровождения в соцсетях;
• ускоренный запуск процедур аварийного обновления систем.

При уже опубликованном эксплойте задержка с патчем или рекомендациями быстро превращается в реальный инцидент. Особенно это касается дата-центров, образовательных учреждений и компаний с общим доступом пользователей к Linux-серверам.

Редакция CISOCLUB убеждена, что атака на Ubuntu выходит далеко за рамки обычного отключения сайта. По мнению редакции, DDoS превратился в инструмент стратегического давления в момент раскрытия критических уязвимостей, и подобная тактика нанесёт серьёзный удар экосистеме при недостаточной готовности компаний. CISOCLUB убеждена, что организациям пора заранее обзавестись резервными источниками патчей, проверенными зеркалами, внутренними репозиториями и процедурами экстренного обновления. Зависимость от одного внешнего канала в самый неподходящий момент способна обернуться катастрофой даже для зрелой инфраструктуры, поэтому план аварийных действий нужно собирать не во время сбоя, а задолго до него.