Svet otvorenog koda (Open Source) potresao je jedan od najmasovnijih sajber napada u poslednjih nekoliko godina. Ubuntu, jedan od najpopularnijih Linux operativnih sistema na svetu, našao se na meti koordinisanog napada koji je onesposobio ključne delove infrastrukture kompanije Canonical. Napad, koji je počeo u četvrtak uveče, ostavio je milione korisnika i administratora sistema bez pristupa zvaničnim veb stranicama, alatima za programere i, što je najkritičnije, sigurnosnim ažuriranjima. Hronologija i potvrda napada Incident je počeo oko 18:00 časova (po britanskom vremenu) u četvrtak, 30. aprila 2026. Korisnici su ubrzo primetili da glavni domen ubuntu.com vraća grešku “503 Service Unavailable”. Ubrzo nakon toga, Canonical je putem svog zvaničnog Status portala i društvene mreže X potvrdio da je njihova veb infrastruktura pod „snažnim, prekograničnim napadom“. Prema izveštajima sa portala The Register i TechCrunch, prekid je trajao više od 20 sati, pogađajući širok spektar usluga: Glavni sajtovi: ubuntu.com i canonical.com. Sigurnosni servisi: Security API koji služi za distribuciju CVE podataka (informacije o ranjivostima). Prodavnice i repozitorijumi: Snap Store (Snapcraft) i Launchpad su bili nedostupni ili značajno usporeni. Alati za upravljanje: Servisi poput MAAS-a (Metal as a Service) i Landscape-a. Ko stoji iza napada? Odgovornost za napad preuzela je grupa poznata kao „The Islamic Cyber Resistance in Iraq – 313 Team“. Ova grupa, koja se povezuje sa pro-iranskim aktivizmom, objavila je na svom Telegram kanalu da je Canonical meta njihovog napada. Ono što ovaj napad razlikuje od običnog haktivizma je prelazak na iznudu (ekstorziju). Grupa je tvrdila da je poslala poruku timu Ubuntua putem enkriptovanog messengera Session, zahtevajući „pregovore o prekidu vatre“, uz pretnju da će se napadi nastaviti ako ne dobiju odgovor. Tehnologija „iznajmljenog“ haosa Zanimljivo je da napadači nisu koristili sopstvenu kompleksnu mrežu, već su se oslonili na takozvane booter ili stresser servise. Specifično, pomenut je servis pod nazivom Beamed, koji funkcioniše po principu „DDoS-za-iznajmljivanje“. Ovi servisi omogućavaju čak i osobama sa minimalnim tehničkim znanjem da, uz određenu naknadu, pokrenu masovne napade koji mogu dostići protok od preko 3.5 Tbps. FBI i Europol već godinama vode rat protiv ovakvih platformi, ali se one neprestano gase i ponovo pojavljuju pod novim imenima, čineći odbranu od njih stalnim izazovom za globalnu sajber sigurnost. Uticaj na korisnike i „Copyfail“ ranjivost Napad se dogodio u najgorem mogućem trenutku. Neposredno pre napada, objavljena je kritična ranjivost u Linux kernelu pod nazivom „Copyfail“, koja omogućava lokalnim korisnicima da steknu administratorska (root) prava na gotovo svim Linux distribucijama izdatim od 2017. godine. Zbog DDoS napada: Korisnici nisu mogli da pristupe zvaničnim uputstvima za ublažavanje ove pretnje jer je Canonical-ov blog bio nedostupan. Ubuntu sistemi nisu uspevali da povuku zakrpe preko standardnih sigurnosnih API-ja. Nezavisni testovi su potvrdili da su pokušaji ažuriranja sistema direktno sa Canonical servera propadali tokom trajanja prekida. Srećom, Ubuntu APT ogledala (mirrors) širom sveta, koja održavaju treće strane i univerziteti, ostala su funkcionalna, što je omogućilo iskusnijim administratorima da preusmere svoje sisteme i ipak preuzmu neophodna ažuriranja. Šta dalje? Iako su servisi počeli da se stabilizuju, ovaj incident je podsetnik na ranjivost centralizovane infrastrukture čak i u svetu decentralizovanog softvera. Korisnicima se preporučuje da prate status servisa putem zvaničnih kanala i da, čim se veza stabilizuje, izvrše komandu sudo apt update && sudo apt upgrade kako bi osigurali svoje sisteme od aktuelnih propusta. S obzirom na to da su glavni serveri kompanije Canonical često prvi na udaru tokom ovakvih napada, najbolji način da osigurate redovna ažuriranja je prebacivanje na lokalne mirror servere (ogledala). Ovi serveri sadrže identične kopije paketa, ali se nalaze na infrastrukturi fakulteta ili provajdera širom sveta, pa su često dostupni čak i kada je glavni sajt ubuntu.com oboren. Evo kako to možete uraditi na dva načina: 1. Preko grafičkog interfejsa (Desktop verzija) Ako koristite Ubuntu na svom računaru sa monitorom, ovo je najlakši put: Otvorite aplikaciju Software & Updates. U prvoj kartici (Ubuntu Software), potražite opciju Download from. Kliknite na padajući meni i izaberite Other…. Na listi pronađite Serbia (ili vašu trenutnu državu). Izaberite jedan od servera (npr. University of Belgrade ili SBB). Kliknite na Choose Server, unesite lozinku i kada vas sistem pita, kliknite na Reload da osvežite listu paketa. 2. Preko terminala (Server verzija) Ako upravljate serverom ili više volite komandnu liniju, uradite sledeće: Napravite rezervnu kopiju trenutne liste: bash sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak Use code with caution. Zamenite glavne adrese lokalnim (primer za Srbiju): Umesto ://ubuntu.com, možete koristiti npr. ://ubuntu.com. To možete uraditi jednom komandom: bash sudo sed -i ‘s/http:\/\/://ubuntu.com:\/\/://ubuntu.com’ /etc/etc/apt/sources.list Use code with caution. Osvežite sistem: bash sudo apt update Use code with caution. Zašto je ovo važno? Lokalni serveri su obično bliži vašoj fizičkoj lokaciji, što znači brže preuzimanje, a pošto su decentralizovani, napadačima iz “313 Team-a” je skoro nemoguće da ih sve obore istovremeno. Savet: Čim završite sa promenom, preporučujem da odmah pokrenete sudo apt upgrade, jer su zakrpe za pomenutu “Copyfail” ranjivost već dostupne na većini mirror servera. Ranjivost pod nazivom “Copyfail” (zvanično CVE-2026-31431) smatra se jednim od najopasnijih bagova u Linux kernelu u poslednjih deset godina. Problem je u tome što napadač ne ostavlja nikakav trag na disku, već menja podatke direktno u privremenoj memoriji (page cache) sistema. Centre for Cybersecurity Belgium +1 Evo kako možete proveriti da li je vaš sistem ranjiv i šta da preduzmete: 1. Provera verzije kernela Ranjivost pogađa skoro sve verzije kernela objavljene od 2017. godine do danas. Da biste proverili svoju verziju, otvorite terminal i kucajte: Securelist bash uname -r Use code with caution. Sistem je ranjiv ako je verzija: Bilo koja između 4.14 i 7.0-rc. Specifično za novije sisteme: sve verzije 6.18.x pre 6.18.22 i 6.19.x pre 6.19.12. Sysdig 2. Provera prisustva spornog modula Napad se oslanja na modul algif_aead. Možete proveriti da li je on učitan ili dostupan komandom: bash lsmod | grep algif_aead Use code with caution. Ako komanda vrati bilo kakav rezultat, modul je aktivan i sistem je potencijalno izložen. CERT-EU 3. Privremeno rešenje (Mitigation) Pošto su Canonical serveri pod DDoS napadom, možda nećete moći odmah da preuzmete zvaničnu zakrpu. Dok čekate, stručnjaci preporučuju da onemogućite sporni modul sledećim komandama: Reddit +1 bash # Onemogućavanje modula da se ne učitava pri pokretanju echo “install algif_aead /bin/false” | sudo tee /etc/modprobe.d/disable-algif.conf # Trenutno uklanjanje modula iz memorije sudo rmmod algif_aead Use code with caution. Napomena: Ovo neće uticati na standardni rad SSH-a, TLS-a ili enkripcije diska (LUKS), ali može uticati na specifične aplikacije koje koriste afalg interfejs. Reddit +1 4. Šta ako ste već zaraženi? “Copyfail” je specifičan jer napadač modifikuje sistemske binarne fajlove (kao što je /usr/bin/su) samo u memoriji. To znači da se resetovanjem (reboot) sistema memorija čisti i maliciozne izmene nestaju. Xint.io +2 Preporuka: Primenite gore navedeno onemogućavanje modula (rmmod). Restartujte sistem. Čim se Canonical infrastruktura stabilizuje, uradite pun update sistema: sudo apt update && sudo apt upgrade Reddit Ovaj napad je fascinantan (i zastrašujući) jer koristi propust u načinu na koji operativni sistem upravlja memorijom, a ne fajlovima na disku. Tehnika se stručno naziva “Page Cache Side-Loading”. Evo jednostavnog objašnjenja procesa: 1. Šta je to “Page Cache”? Kada pokrenete neki program (npr. komandu sudo), Linux ne čita svaki put fajl direktno sa hard diska jer je to sporo. On kopira taj fajl u RAM memoriju (to je taj Page Cache). Sledeći put kada neko pokrene isti program, sistem ga učitava munjevitom brzinom direktno iz RAM-a. 2. Kako “Copyfail” vara sistem? Normalno, Linux ima stroga pravila: ako običan korisnik pokuša da izmeni fajl koji pripada administratoru (root), sistem će ga odbiti. Međutim, “Copyfail” koristi grešku u kernelu (u algif_aead modulu) koja omogućava napadaču da kaže sistemu: “Želim da kopiram ove podatke u memoriju”. Zbog baga, sistem dozvoljava napadaču da upiše podatke direktno u Page Cache, na mesto gde se već nalazi legitimni program (poput sudo ili su komande). 3. “Duh” u mašini Ono što je ključno: Fajl na disku ostaje netaknut. Ako biste proverili antivirusom ili uporedili veličinu fajla, sve bi izgledalo savršeno. Verzija u RAM-u je izmenjena. Napadač ubacuje par redova koda koji kažu: “Dozvoli svakome da postane administrator bez lozinke”. Svi ostali ga koriste. Svaki sledeći korisnik ili proces koji pokrene tu komandu, zapravo pokreće hakovanu verziju koja se nalazi u memoriji. 4. Zašto je to opasno u kombinaciji sa DDoS napadom? Ovo je bio “savršen tajming” za hakere: Objavili su postojanje ove ranjivosti. Odmah su pokrenuli DDoS napad na Canonical kako bi sprečili administratore da preuzmu zakrpu (patch). Dok su serveri za ažuriranje bili “mrtvi”, imali su otvoren prozor da upadnu u sisteme koji još uvek nisu zaštićeni. Zanimljivost: Pošto se sve dešava u RAM memoriji, napad je nevidljiv za standardne alate koji skeniraju disk. Zato je u prethodnom koraku savetovan reboot – to je jedini način da se “ispere” zaražena memorija pre nego što primenite trajnu zakrpu. Post navigation Ansible Playbook: copyfail_mitigation.yml 32 GB RAM-a kao novi standard: Zašto Windows 11 „traži“ više memorije?
