Атака на инфраструктуру Canonical провела группировка «Islamic Cyber Resistance in Iraq», также известная как 313 Team. Хакеры использовали платный инструмент Beamed, который рекламирует методы обхода защиты Cloudflare, включая ротацию жилых IP и ручной поиск исходных серверов. Служба Beamed работает через домены beamed.su и beamed.st, зарегистрированные через Immaterialism Limited — компанию, которая в прошлом использовала адреса в Лондоне, но перевела управление в Румынию в феврале 2026 года. Интересно, что этот же автономный систем AS39287 ранее принадлежал финской ab stract ltd, созданной одним из основателей The Pirate Bay Петером Кольмисоппи. Вечером 27 февраля 2026 года роутинг этой инфраструктуры был переадресован в Румынию, что совпало с получением новых сертификатов Let's Encrypt для security.ubuntu.com и archive.ubuntu.com.
В 16:33 по UTC 30 апреля монитор Canonical отметил сайт blog.ubuntu.com как нерабочий. В течение десяти минут остановилась вся сеть: главный сайт ubuntu.com, портал разработчиков, API безопасности и корпоративный ресурс. Отключились ключевые endpoints, на которых базируется apt update для всех инсталляций Ubuntu в мире. Эти два ресурса, security.ubuntu.com и archive.ubuntu.com, находились в резерве, но были активированы только через три часа после начала атаки. В течение почти двух часов серверы «флаппали» — то отключались, то возвращались онлайн, пытаясь выдержать нагрузку до 3.5 Тбит/с, пока не перешли под защиту Cloudflare AS13335.
Ключевой момент истории раскрывается в технической подготовке. Запись в реестре прозрачности сертификатов и смена роутинга произошли одновременно. Это говорит о том, что инженеры Canonical приняли решение купить защиту именно в тот момент, когда атаки через инфраструктуру Cloudflare достигали пика. Компания передала Cloudflare только две записи A для репозиториев, подвергшихся нападению, тогда как остальные сервисы держала на своем железе. Атака на репозитории остановилась, когда их IP-адреса стали работать через Cloudflare.
Ситуация напоминает историю Моуза Анненберга в 1930-х годах, когда его телеграфная служба продавала букмекерам результаты гонок. Те, кто не подписывался на его услуги, проигрывали, так как не могли корректировать коэффициенты. Сегодня роль верификатора достаточности играет Cloudflare, которая одновременно и защищает, и хостит хостинг для ботнетов. Угроза и защита слились в один денежный поток. Публичные реестры Companies House, база RIPE и логи прозрачности сертификов подтверждают эту схему. Стоимость простоя для Canonical превысила стоимость подписки, и защита была куплена через сервис, который атакующие используют как инструмент для нанесения ударов.