La Cơ sở hạ tầng công cộng của Canonical và các dịch vụ UbuntuUbuntu, một trong những bản phân phối Linux được sử dụng rộng rãi nhất trên toàn cầu, đã bị tấn công từ chối dịch vụ phân tán (DDoS) khiến các thành phần thiết yếu của hệ sinh thái ngừng hoạt động trong nhiều giờ. Cuộc tấn công đã ảnh hưởng trực tiếp đến khả năng cài đặt và cập nhật hệ điều hành của nhiều người dùng và tổ chức, điều này đặc biệt quan trọng trong môi trường doanh nghiệp và hành chính công, nơi Ubuntu là một thành phần chủ chốt trên máy chủ và trong các đám mây riêng.
Vụ việc, được chính công ty mô tả là một cuộc tấn công kéo dài và xuyên biên giớiCuộc tấn công này không chỉ làm sập một trang web của công ty mà còn xâm phạm các kho lưu trữ, API bảo mật, nền tảng phát triển và dịch vụ xác thực. Tất cả những điều này đã cho thấy mức độ mà cơ sở hạ tầng tập trung của các dự án mã nguồn mở có thể trở thành nút thắt cổ chai nghiêm trọng khi đối mặt với các cuộc tấn công quy mô lớn.
Một cuộc tấn công DDoS kéo dài làm tê liệt các dịch vụ quan trọng.
Canonical đã công khai thừa nhận vấn đề thông qua trang trạng thái chính thức trên trang web của mình. và thậm chí cả mạng xã hộinơi ông ấy tường thuật rằng Hệ thống hạ tầng web của họ liên tục bị tấn công DDoS. Các nhóm nội bộ đã chạy đua với thời gian để khôi phục dịch vụ bình thường. Tại thời điểm các báo cáo đầu tiên, sự cố mất điện đã dẫn đến việc một số dịch vụ không khả dụng từ 15 đến 20 giờ, một khoảng thời gian đáng kể đối với một nền tảng được các nhà phát triển và doanh nghiệp sử dụng rộng rãi.
Đối với những người chưa quen thuộc với loại sự cố này, tấn công từ chối dịch vụ phân tán (DDoS) bao gồm: làm bão hòa các hệ thống mục tiêu bằng lượng lớn lưu lượng truy cập rác.Cuộc tấn công này, bắt nguồn từ hàng nghìn hoặc hàng triệu thiết bị, có thể làm cạn kiệt tài nguyên mạng hoặc máy tính. Mặc dù được coi là một kỹ thuật "kinh điển" so với các phương pháp tinh vi hơn, nó vẫn là một công cụ cực kỳ hiệu quả để làm sập các cổng thông tin, API và kho lưu trữ mà cơ sở hạ tầng quan trọng phụ thuộc vào.
Các kho lưu trữ, API bảo mật và cổng thông tin bị ảnh hưởng
Cộng đồng các nhà phát triển Ubuntu bắt đầu bình luận về các vấn đề trong diễn đàn không chính thức và kênh kỹ thuật Khi họ phát hiện ra rằng một số dịch vụ không thể truy cập được hoặc hoạt động không ổn định. Trong số những yếu tố nhạy cảm nhất được đề cập là API bảo mật của Ubuntu, kho gói được sử dụng bởi trình quản lý apt, cổng thông tin chính ubuntu.com, Snap Store, nền tảng phát triển Launchpad và các dịch vụ liên kết với Ubuntu Pro.
Thực tế là API và kho lưu trữ bảo mật Sự xâm phạm này đã gây ra hậu quả trực tiếp: nhiều quản trị viên hệ thống báo cáo lỗi khi cố gắng cập nhật gói phần mềm, áp dụng bản vá bảo mật hoặc cài đặt các phiên bản mới của hệ thống. Các thử nghiệm của bên thứ ba trên thiết bị Ubuntu đã xác nhận rằng quá trình cập nhật thất bại trong khi cuộc tấn công đang diễn ra, khiến sự cố trở nên nghiêm trọng hơn nhiều so với một sự cố ngừng hoạt động trang web đơn thuần.
Song song đó, người ta nhận thấy rằng các quản trị viên tạm thời mất quyền truy cập vào thông tin cập nhật về các lỗ hổng và bản vá lỗi, làm phức tạp thêm việc quản lý rủi ro trong môi trường mà thời gian phản hồi cực ngắn là điều thiết yếu. Tại các công ty tuân thủ các quy định an ninh mạng nghiêm ngặt, chẳng hạn như NIS2, việc tắc nghẽn kéo dài các kênh này có thể dẫn đến những lỗ hổng trong việc tuân thủ và tăng nguy cơ bị tấn công bởi các loại hình tấn công khác.
Nhóm 313 Team nhận trách nhiệm về vụ tấn công DDoS.
Vụ tấn công được nhận trách nhiệm bởi một nhóm tin tặc tự xưng là... Nhóm Kháng chiến mạng Hồi giáo tại Iraq 313Nhóm này, hay còn được biết đến với tên gọi đơn giản là Nhóm 313, đã thông qua kênh Telegram của mình để nhận trách nhiệm về việc làm sập cơ sở hạ tầng công cộng của Ubuntu và Canonical, tuyên bố rằng chúng đã khiến các dịch vụ thiết yếu không thể truy cập được đối với hàng triệu người dùng.
Trong một số tin nhắn được phát tán trên kênh đó, những kẻ tấn công không chỉ nhận trách nhiệm mà còn đi xa hơn thế nữa. Họ đe dọa sẽ kéo dài cuộc tấn công. Nếu công ty không liên lạc với họ, họ thậm chí sẽ đưa ra những yêu cầu về tài chính. Mặc dù Canonical không công khai xác nhận chi tiết về các vụ kiện tiềm năng hoặc các cuộc liên lạc trực tiếp, nhưng sự tồn tại của những lời đe dọa này cho thấy mức độ mà các cuộc tấn công DDoS được sử dụng như một hình thức gây sức ép và tống tiền.
Beamed: dịch vụ tấn công DDoS theo yêu cầu đứng sau cuộc tấn công này
Một trong những điểm khiến các chuyên gia lo ngại nhất là, theo lời khẳng định của chính những kẻ tấn công, chúng không sử dụng mạng botnet tự xây dựng mà là một dịch vụ thương mại có tên gọi là... Beamed, một nền tảng tấn công DDoS theo yêu cầu.Các loại dịch vụ này, còn được gọi là booters hoặc stressers, cho phép bạn thuê năng lực tấn công như thể đó chỉ là một dịch vụ đăng ký thông thường, làm giảm đáng kể rào cản gia nhập đối với tội phạm mạng.
Beamed tuyên bố có khả năng tạo ra các đợt tăng đột biến lưu lượng truy cập lên đến... 3,5 terabit mỗi giây (Tbps)Con số này, dù chưa được xác minh độc lập trong trường hợp cụ thể này, cho thấy quy mô tiềm năng của cơ sở hạ tầng có sẵn để cho thuê trên thị trường chợ đen. Để dễ hình dung hơn, dung lượng này xấp xỉ một phần đáng kể so với một số cuộc tấn công DDoS lớn nhất từng được các nhà cung cấp dịch vụ giảm thiểu tấn công như Cloudflare ghi nhận.
Bằng cách thuê ngoài "lực lượng tấn công" cho các dịch vụ này, các nhà điều hành tấn công có thể tập trung vào... lựa chọn mục tiêu và phối hợp các chiến dịchmà không cần phải tự quản lý mạng lưới các thiết bị bị xâm nhập của mình. Điều này đẩy nhanh quá trình chuyên nghiệp hóa hiện tượng này và làm phức tạp phản ứng của cảnh sát, vì mỗi lần tắt máy hoặc tịch thu đều gần như ngay lập tức dẫn đến sự xuất hiện của các dịch vụ mới hoặc việc di chuyển cơ sở hạ tầng sang các miền và khu vực pháp lý khác.
Xu hướng toàn cầu: sự gia tăng các cuộc tấn công DDoS thương mại
Vụ việc giữa Canonical và Ubuntu phù hợp với xu hướng rộng hơn mà các công ty an ninh mạng và các tổ chức quốc tế đã quan sát thấy: Sự gia tăng bùng nổ về số lượng và tần suất các cuộc tấn công DDoSCác báo cáo gần đây từ các nhà cung cấp như Cloudflare, Nexusguard và Radware chỉ ra hàng chục triệu sự cố mỗi năm, với mức tăng hơn gấp đôi so với năm trước và sự gia tăng kỷ lục về lưu lượng truy cập độc hại chỉ trong vài giây.
Phần lớn các cuộc tấn công này có tốc độ dưới 1 Gbps và được thực hiện trên những đợt rất ngắnNhững cuộc tấn công này được thiết kế để không bị phát hiện và làm quá tải các cơ chế phòng thủ tự động trước khi chúng được kích hoạt. Tuy nhiên, các sự cố như vụ tấn công Canonical cho thấy rằng kẻ tấn công cũng có khả năng duy trì các chiến dịch dài hơn khi mục tiêu dễ thấy, mang tính biểu tượng hoặc có tầm chiến lược — điều này đặc biệt quan trọng đối với các cơ sở hạ tầng phần mềm mã nguồn mở hàng đầu.
Trong những năm gần đây, các cơ quan như FBI và Europol đã khởi động các chiến dịch. Các đơn vị chuyên trách đã được thành lập để triệt phá các mạng lưới tấn công DDoS, tịch thu tên miền và bắt giữ những kẻ chịu trách nhiệm. Tuy nhiên, thực tế là hệ sinh thái của những kẻ buôn lậu hoạt động như một trò chơi mèo vờn chuột không ngừng nghỉ: cứ mỗi dịch vụ bị đóng cửa, những dịch vụ khác lại xuất hiện hoặc được tổ chức lại, duy trì một thị trường thúc đẩy các cuộc tấn công chống lại các công ty, chính phủ và các dự án công nghệ mã nguồn mở.
Tác động đến các công ty, doanh nghiệp khởi nghiệp và cơ quan hành chính nhà nước
Vượt lên trên những ồn ào trên truyền thông, vụ tấn công vào Canonical cho thấy... sự phụ thuộc về cấu trúc vào các dự án mã nguồn mở Giống như Ubuntu. Nhiều tổ chức công cộng, trường đại học, trung tâm nghiên cứu và công ty tư nhân sử dụng bản phân phối này làm nền tảng cho máy chủ, đám mây lai và máy trạm phát triển của họ. Khi nhà cung cấp trung tâm bị tấn công DDoS kiểu này, hiệu ứng domino có thể lan rộng ra nhiều lĩnh vực.
Đối với các công ty khởi nghiệp công nghệ và các doanh nghiệp vừa và nhỏ kỹ thuật số của Tây Ban Nha, sự suy giảm của các dịch vụ như kho lưu trữ, Launchpad hoặc Snap Store dẫn đến... Trì hoãn triển khai, không thể áp dụng bản vá lỗi và các điểm nghẽn trong quy trình tích hợp liên tục. Điều này có thể ảnh hưởng đến hợp đồng khách hàng, thỏa thuận mức độ dịch vụ (SLA), và trong trường hợp xấu nhất, dẫn đến các sự cố bảo mật bổ sung nếu hệ thống không được cập nhật trong thời gian quá dài.
Việc không thể sử dụng cơ sở hạ tầng của Canonical làm dấy lên thêm lo ngại về tính liên tục của hoạt động kinh doanh và việc tuân thủ quy định. Sự gián đoạn của API bảo mật Ubuntu, các kênh vá lỗi và tài liệu chính thức cản trở việc quản lý lỗ hổng bảo mật, đúng vào thời điểm áp lực pháp lý đối với an ninh mạng đang ngày càng gia tăng.
Rủi ro chuỗi cung ứng trong hệ sinh thái mã nguồn mở
Tập phim này cũng được hiểu như một lời nhắc nhở về tính dễ tổn thương của chuỗi cung ứng phần mềm Dựa trên các dự án mã nguồn mở. Một phần lớn cơ sở hạ tầng công nghệ của thế giới phụ thuộc vào các kho lưu trữ và dịch vụ được duy trì bởi các nhóm nhỏ. Khi một trong những nút này bị quá tải hoặc ngừng hoạt động, ảnh hưởng sẽ nhanh chóng lan rộng đến tất cả các sản phẩm và dịch vụ sử dụng nó.
Các trường hợp gần đây, chẳng hạn như các cuộc tấn công vào kho lưu trữ của các bản phân phối Linux khác, đã cho thấy cùng một điểm yếu: nếu các kênh cập nhật bị chặn hoặc bị xâm phạm, các tổ chức sẽ dễ bị tổn thương. các lỗ hổng chưa được vá Việc không thể triển khai các phiên bản đã được sửa lỗi là một vấn đề lớn. Trong bối cảnh Linux được sử dụng rộng rãi trên các máy chủ công cộng và tư nhân, những sự cố loại này hiện được coi là rủi ro mang tính hệ thống chứ không phải là một vấn đề riêng lẻ.
Đáp lại, nhiều nhóm kỹ thuật trong các công ty và công ty khởi nghiệp đang bắt đầu triển khai các chiến lược để khả năng phục hồi và đa dạng hóaCác bản sao lưu gói phần mềm cục bộ, ảnh container dựng sẵn được lưu trữ trong các registry riêng và các kế hoạch dự phòng tính đến sự cố tạm thời của các nhà cung cấp chính đều đã được thiết lập. Mục tiêu là duy trì sự ổn định hoạt động tương đối ngay cả khi nhà cung cấp thượng nguồn gặp phải cuộc tấn công DDoS kéo dài.
Những bài học cho cộng đồng kỹ thuật về cuộc tấn công DDoS này
Trong thế giới nói tiếng Tây Ban Nha, nơi có rất nhiều công ty khởi nghiệp và công ty đang phát triển dựa trên nền tảng Linux và dịch vụ đám mây, sự cố Canonical đóng vai trò như một lời cảnh tỉnh. Nhiều công ty trẻ vẫn hoạt động dựa trên giả định rằng... “Họ sẽ không tấn công chúng ta đâu.”Trong khi đó, số liệu thống kê lại cho thấy điều ngược lại: Các cuộc tấn công DDoS ngày càng ảnh hưởng đến các công ty thuộc mọi quy mô, chứ không chỉ các tập đoàn lớn hay các nền tảng toàn cầu.
Đối với các nhóm kỹ thuật, trường hợp này nhấn mạnh tầm quan trọng của việc có Các biện pháp bảo vệ chống tấn công DDoS ở cấp độ mạng và ứng dụng.Các giải pháp DNS mạnh mẽ, hệ thống giám sát lưu lượng truy cập và kế hoạch truyền thông khủng hoảng được chuẩn bị sẵn đều có sẵn. Mặc dù nhiều công cụ trong số này có chi phí thấp hoặc thậm chí là mã nguồn mở, nhưng điều thường thiếu là thời gian đầu tư và kế hoạch chuẩn bị trước cần thiết để triển khai chúng trước khi sự cố xảy ra.
Một số công ty công nghệ hàng đầu đã tăng cường đáng kể cơ sở hạ tầng của họ sau những sự cố ban đầu, hiểu rằng an ninh mạng không phải là một khoản chi phí không cần thiết, mà là một phần thiết yếu. yếu tố thúc đẩy tăng trưởng và lòng tinVụ tấn công vào Canonical và Ubuntu phù hợp với luận điểm đó: nếu một phần quan trọng như vậy của hệ sinh thái có thể bị tê liệt bởi một cuộc tấn công DDoS thương mại, thì bất kỳ bên nào xây dựng trên nền tảng đó đều phải ưu tiên khả năng phục hồi.
Những gì đã xảy ra giữa Canonical và Ubuntu cho thấy rõ rằng... Cuộc tấn công DDoS được dàn dựng bài bản nhằm vào một nhà cung cấp quan trọng. Điều này có thể dẫn đến những vấn đề tức thời cho hàng triệu hệ thống trên toàn thế giới. Sự kết hợp giữa các cuộc tấn công DDoS có chủ đích, động cơ ý thức hệ và việc sử dụng rộng rãi phần mềm miễn phí khiến những sự cố này không chỉ đơn thuần là những câu chuyện kỹ thuật: chúng nhắc nhở chúng ta rằng cơ sở hạ tầng kỹ thuật số mà chúng ta sử dụng hàng ngày rất dễ bị tổn thương và đòi hỏi các biện pháp phòng thủ, lập kế hoạch và đa dạng hóa tương xứng với tầm quan trọng của nó.
