Cloudflare'ın Canonical'a şantaj yapıp yapmadığını biri açıklayabilir mi?

• Canonical'ın herkese açık web hizmetleri 30 Nisan 2026 16:33 UTC'den itibaren yaklaşık 20 saat kesintiye uğradı ve Ubuntu depo uç noktaları da daha sonra arızaya girdi
• Saldırının sorumluluğunu üstlenen İran yanlısı grup, ücretli DDoS hizmeti Beamed kullandığını söyledi; Beamed, Cloudflare atlatmayı ve konut IP rotasyonunu reklam ediyor
• Beamed alan adıyla ilişkili kayıt ve yönlendirme altyapısı, Cloudflare AS13335, Immaterialism, AS39287 ve Materialism s.r.l. kayıtlarına uzanıyor
• AS39287 yeniden tahsisi ile Canonical'ın archive.ubuntu.com ve security.ubuntu.com apex sertifika yenilemeleri 27 Şubat 2026'da aynı 24 saat içinde gerçekleşti
• Canonical saldırı sırasında yalnızca security.ubuntu.com ve archive.ubuntu.com alanlarını Cloudflare'a taşıdı; kamuya açık kayıtlara göre fidye yerine ücretli aboneliğin yer değiştirdiği bir yapı ortaya çıktı

Canonical kesintisi ve Cloudflare geçişi

• 30 Nisan 2026 16:33:37 UTC'de Canonical'ın izleme sistemi blog.ubuntu.com'u Service Down olarak işaretledi ve yaklaşık 10 dakika içinde ubuntu.com, güvenlik tavsiye API'si, geliştirici portalı, kurumsal site ve eğitim platformu gibi herkese açık web hizmetleri de birlikte kesildi
• Kesinti yaklaşık 20 saat sürdü ve 1 Mayıs 2026 12:44 UTC'de Service Restored olarak kaydedildi
• Saldırının sorumluluğunu üstlenen grup, kendisini Islamic Cyber Resistance in Iraq veya 313 Team olarak tanıtan İran yanlısı bir grup ve ücretli bir hizmet kullandığını açıkladı
• Saldırı aracı olarak gösterilen Beamed, birden fazla TLD üzerinde satılan ticari bir hizmet engelleme ürünüdür; beamed.su pazarlama ve blog sitesi, beamed.st ise müşteri giriş portalı olarak kullanılıyor
• Beamed'in Nisan 2026 tarihli blog yazısı “Cloudflare bypass” reklamı yapıyor ve konut IP rotasyonu ile manuel “endpoint hunting” kullanarak origin sunucuyu bulmayı içeren üç tekniği öne çıkarıyor
• Saldırıdan bir hafta sonra da beamed.su ve beamed.st çevrimiçiydi ve ikisi de Cloudflare AS13335 adreslerine çözülüyordu
• Canonical'ın iki depo uç noktası security.ubuntu.com ve archive.ubuntu.com da daha sonra Cloudflare AS13335 adreslerini kullanmaya başladı

Beamed ve kayıt/yönlendirme altyapısı

• Beamed'in tüketiciye dönük alan adları, Immaterialism Limited adlı kayıt kuruluşu üzerinden kaydedildi; bu kayıt kuruluşu sabit ücretli ve JSON API tabanlı alan adı kaydı satıyor
• Immateriali.sm, Cloudflare nameserver'ları tani.ns.cloudflare.com ve trey.ns.cloudflare.com üzerinden proxy'leniyor
• Immaterialism Limited, Birleşik Krallık Companies House'a şirket numarası 15738452 ile kayıtlı ve 24 Mayıs 2024'te kuruldu
• Kuruluş sırasında şirket yöneticisi Kosta Rika'dan Nicole Priscila Fernandez Chaves idi ve Londra Great Portland Street'te toplu posta kutusu adresi kullanıyordu
• 11 Nisan 2025'te Fernandez Chaves yöneticilikten ayrıldı ancak %75'ten fazla ekonomik menfaatini korudu; aynı adreste Birleşik Krallık'ta ikamet eden Naomi Susan Colvin yeni yönetici olarak atandı

27 Şubat 2026'daki AS39287 yeniden tahsisi

• 26 Şubat 2026'da Immaterialism Limited, Companies House'a aynı gün iki değişiklik sundu
  • Tescilli ofisi 85 Great Portland Street adresinden 167-169 Great Portland Street adresine taşıdı
  • Fernandez Chaves'in person with significant control bilgilerini değiştirdi
• Ertesi gün, 27 Şubat 2026'da Beamed ve ilgili hizmetlerin IP alanını duyuran yönlendirme altyapısı yargı alanı değiştirdi
• Materialism'in adres alanını duyuran otonom sistem AS39287 ve RIPE bu AS numarasını 24 Ocak 2006'da tahsis etti
• AS39287'nin yönlendirme kimliği korunmaya devam etti ancak kayıtlı operatör ve ülke kayıtları iki kez değişti

• Privactually Ltd ve FLATTR-AS dönemi

  • Yaklaşık 2017'den yaklaşık 2020'ye kadar AS39287, Kıbrıs merkezli Privactually Ltd şirketine aitti ve FLATTR-AS adıyla işletiliyordu
  • Flattr, The Pirate Bay kurucu ortaklarından Peter Sunde Kolmosoppi'nin mikro ödeme projesiyle bağlantılıydı
  • Bu kayıt altında prefix'lerin abuse irtibatı abuse@shelter.st idi

• ab stract ltd dönemi

  • 2020'den 2026'ya kadar aynı AS numarası, Helsinki Urho Kekkosen katu 4-6E adresindeki Finlandiya şirketi ab stract ltd'ye yeniden tahsis edildi
  • RIPE kayıtlarındaki maintainer nesnesi BKP-MNT idi ve kayıtlardaki kişi The Pirate Bay'in bir diğer kurucusu Peter Kolmisoppi olarak görünüyordu
  • Operatör alan adı abstract.fi için yetkili nameserver'lar njalla.fo, njalla.no ve njalla.in olmak üzere üç Njalla nameserver'ıydı
  • Njalla, Peter Sunde tarafından kurulan privacy-as-a-service alan adı proxy hizmetidir ve Saint Kitts and Nevis merkezli 1337 Services LLC üzerinden işletilir

• Materialism s.r.l. yeniden tahsisi

  • 27 Şubat 2026 12:11:48 UTC'de RIPE üçüncü yeniden tahsisi kaydetti ve AS39287, Romanya Bükreş Bulevardul Metalurgiei adresindeki Materialism s.r.l. şirketine geçti
  • Yeniden tahsis 45.158.116.0/22, 2001:67c:2354::/48, 2a02:6f8::/32 bloklarını içeriyordu; son IPv6 prefix'i önceki düzende ilk kez Ağustos 2008'de tahsis edilmişti
  • Üç geçiş dönemi boyunca peering yapılandırması korundu ve AS39287, AS42708(Telia), AS37560(GTT), AS12552(GlobalConnect), AS34244(Voxility) ve AS54990 ile aynı import/export düzenini sürdürdü
  • Aynı rotalar aynı upstream ağlara çıkmaya devam etti ve kamuya açık kayıtlarda değişen tek şey görünen operatör adıydı
  • IANA'nın akredite alan adı kayıt kuruluşları listesinde Immateriali.sm'in müşteri tabanı içinde Njalla'nın arkasındaki işlem yapan tüzel kişilik olan 1337 Services LLC de yer alıyor

Aynı gün gerçekleşen Canonical sertifika rotasyonu

• Canonical depo uç noktalarının sertifika şeffaflığı kayıtlarında, yönlendirme yeniden tahsisinin gerçekleştiği aynı 24 saatlik pencere içinde birden fazla kayıt görünüyor
• 27 Şubat 2026 06:14:03 UTC'de Let’s Encrypt, archive.ubuntu.com için yeni bir apex sertifika verdi
• Aynı gün 19:13:35 UTC'de Let’s Encrypt, security.ubuntu.com için yeni bir apex sertifika verdi
• security.ubuntu.com'un 2026 sertifika şeffaflığı kayıtlarında bu kayıttan önce yalnızca bölgesel ayna sertifikaları vardı; görünür günlüklerde daha erken bir apex sertifika görünmüyor
• Aynı gün 22:14:03 UTC'de clouds.archive.ubuntu.com için yeni bir sertifika verildi
• Sonraki 9 gün boyunca aynı örüntü azure.archive.ubuntu.com, wildcard-gce.archive.ubuntu.com ve wildcard-ec2.archive.ubuntu.com üzerinde tekrarlandı
• Her yeni sertifika bölgesel aynalara değil, apex hostname'lere verildi
• Apex hostname'ler için geçerli origin sertifikaları, bu hostname'leri bir içerik dağıtım ağının arkasına koymanın ön koşulu olarak değerlendiriliyor
• 27 Şubat 2026'da gerçekleşen yönlendirme yeniden tahsisi ile Canonical sertifika rotasyonunun eşzamanlılığı, yalnızca kamuya açık kayıtlarla açıklanmıyor

Saldırı zaman çizelgesi

• Zaman çizelgesi, Canonical'ın status.canonical.com sayfasındaki dakika bazlı kesinti kayıtlarına dayanıyor; bu kayıtlar 30 Nisan yaklaşık 22:52 UTC'de Ubuntu Discourse başlığı 81470'te anlık görüntü olarak korunmuştu

• İlk 10 dakika: herkese açık web genelinde kesinti

  • 16:33:37: blog.ubuntu.com ilk kez Down olarak işaretlendi ve Incident Start Time olarak kaydedildi
  • 16:34:10: canonical.com Down
  • 16:34:45: academy.canonical.com Down
  • 16:35:15: developer.ubuntu.com Down
  • 16:35:22: maas.io Down
  • 16:36:09: jaas.ai Down, Ubuntu Security API(CVEs) Down
  • 16:37:13: Ubuntu Security API(Notices) Down
  • 16:41:57: assets.ubuntu.com Down
  • 16:43:25: ubuntu.com Down
  • Güvenlik tavsiye akışları başlangıçtan 3 dakika içinde düştü ve pazarlama apex'i 10 dakika içinde kapandı
  • Bu noktada henüz saldırı almayan host'lar security.ubuntu.com ve archive.ubuntu.com idi; bu iki uç nokta tüm Ubuntu kurulumlarında apt update hatasına yol açabilecek depo uç noktalarıydı

• 3 saat sonra depo uç noktalarına saldırı

  • 19:34:38: security.ubuntu.com ilk kez Down olarak işaretlendi
  • 19:40:01: archive.ubuntu.com Down
  • Depo uç noktaları, saldırının başlamasından yaklaşık 3 saat sonra arızaya girdi
  • 19:40 UTC'den sonraki 70 dakika boyunca iki depo uç noktası durum panosunda Down ile Operational arasında gidip geldi
  • Durum kayıtlarında bu süre boyunca security.ubuntu.com için 5, archive.ubuntu.com için 4 kez Down/Operational geçişi yer aldı
  • Bu örüntü, origin tarafında rate limiting, bölgesel filtreleme veya trafik temizleme gibi önlemlerin denenmiş ancak açıklanan 3.5 Tbps büyüklüğündeki sürekli yük altında başarısız olmuş olabileceği tabloyla örtüşüyor

• 20:50 UTC sonrası istikrar

  • 20:50:29: archive.ubuntu.com Operational
  • 20:51:13: security.ubuntu.com Operational
  • Bu 44 saniyelik aralık sonrasında, 22:52 UTC'ye kadar süren kaydedilmiş anlık görüntüde iki host da tekrar Down görünmüyor
  • Dalgalanma durdu ve iki uç nokta saldırının başlamasından 4 saat 17 dakika sonra bir dakikadan kısa arayla birlikte istikrara kavuştu
  • security.ubuntu.com ve archive.ubuntu.com yazım anında 104.20.28.246 ve 172.66.152.176 adreslerine çözülüyor; bu adresler Cloudflare'ın AS13335 içinde işlettiği adresler
  • Etkilenen diğer host'lar olan ubuntu.com, canonical.com, launchpad.net, snapcraft.io ve login.ubuntu.com ise hâlâ Canonical'ın AS41231 alanındaki 185.125.189.x ve 185.125.190.x adreslerine çözülüyor
  • ubuntu.com için yetkili nameserver'lar hâlâ ns1.canonical.com, ns2.canonical.com ve ns3.canonical.com

Seçici Cloudflare geçişi

• Canonical, saldırganların depo erişimini engellemek için hedef aldığı iki A kaydını, yani security.ubuntu.com ve archive.ubuntu.com kayıtlarını Cloudflare'a taşıdı
• Diğer hizmetler Canonical'ın kendi altyapısında kaldı ve mevcut önlemler altında saldırıya dayanmayı sürdürdü
• Depo olmayan host'lar anlık görüntünün sonuna kadar dalgalanmaya devam etti ve daha sonra upstream filtreleme ile saldırı azaltma veya saldırının durmasının birleşimiyle toparlandı
• Canonical'ın ilk kamuya açık doğrulaması 1 Mayıs 07:13 UTC'de yayımlandı; bu, depo uç noktalarının Cloudflare arkasında istikrara kavuşmasından 10 saat sonra gerçekleşti
• Tüm bileşenlerin tam olarak toparlandığı 1 Mayıs 12:44 UTC'de doğrulandı; bu da saldırının başlamasından yaklaşık 20 saat sonra idi

“Şantaj” olup olmadığı etrafındaki yapı

• Kamuya açık olarak doğrulanabilen yolda fidye ödemesi taşınmış görünmüyor
• Bu ölçekte bir kripto para akışı da kamu kayıtlarında görünmüyor
• Bir talep mektubu da yayımlanmadı; eğer müzakere olduysa bunun özel yürütülmüş olması muhtemel
• Kamu kayıtlarında yer değiştiren şey ücretli abonelik oldu
• Canonical'ın en değerli iki uç noktası, yani otomatik güvenlik güncellemelerinin dünya genelinde başarısız olmasına yol açabilecek depo uç noktaları, Cloudflare ile hizmet ilişkisine geçti
• Aynı anda Cloudflare'ın diğer mevcut müşterileri arasında Canonical'a saldıran booter operatörü de bulunuyordu
• Beamed'in kiralanabilir olmaya devam etmesi ve Canonical altyapısındaki kesinti süresinin bir son tarih gibi işlemesi, kamuya açık ayrı bir talep olmadan da bir anlaşmanın oluştuğu şeklinde yorumlanıyor
• Koruyucu taraf her iki taraftan da gelir elde ederken, her anda içerik açısından tarafsız ve hizmet şartlarının lafzı içinde kalıyor

At yarışı telgraf tekeliyle karşılaştırma

• 1930'larda Moses Annenberg'in General News Bureau'su, ABD genelindeki bookmaker'lara hipodrom sonuçlarını hızlı biçimde satıyordu
• Abone olan bookmaker'lar ayakta kalırken, abone olmayanların da abone olan rakipler nedeniyle oran belirleme kabiliyetini kaybettiği yönünde bir benzetme yapılıyor
• Annenberg'in geliri, at yarışı sonuçlarının doğrulanmasına dair tekele dayanıyordu ve bu tekel gayriresmî bookmaker'ların faaliyet için onun wire hizmetine bağımlı hale gelmesine yol açtı
• Federal hükümet bu tekeli 1939'da bir vergi davasıyla kırdı ve devamındaki wire servisleri 1940'lar boyunca baskı gördü
• 1942 tarihli Mayor LaGuardia haberi, New York, New Jersey, Westchester ve Nassau County'deki yarış kumarbazları ile poolroom bookmaker'lar için “yıllık 1 milyon dolarlık wire service” baskınında 9 kişinin tutuklandığını aktarıyor
• Bugünün DDoS koruma pazarı da booter pazarıyla ilişkisi bakımından benzer bir konumda olmakla eleştiriliyor
• Cloudflare'ın geliri, açık internette bir hizmete erişilip erişilemediğini doğrulayan konuma dayanıyor; aynı şirket bir booter'ın hosting sağlayıcısı da olduğunda tehdit ve koruma rolleri tek bir gelir akışında birleşiyor

Kamu kayıtlarında kalan izler

• Bu olayın izleri birden fazla kayıt sistemi ve kurumsal bildirim içinde dağılmış durumda
• Companies House'ta şirket evrakları, RIPE veritabanında yönlendirme yeniden tahsisi, sertifika şeffaflığı günlüklerinde apex sertifika rotasyonu tarihleri ve Canonical'ın durum sayfasında kayıtların değiştiği zamanlar yer alıyor
• 27 Şubat 2026'da üç hazırlık aynı takvim penceresi içinde tamamlandı
  • Materialism s.r.l., AS39287'nin ve ona bağlı eski IPv6 prefix'lerinin sahipliğini aldı
  • Immaterialism Limited, Companies House belgelerini sundu
  • Canonical tarafında ise daha sonra içerik dağıtım ağının arkasına taşınacak iki apex hostname için origin sertifikaları yenilendi
• Saldırının başlangıcı ile Canonical depo host adlarında Cloudflare adreslerinin görünmesi arasındaki 4 saatlik aralık, satın alma kararının yer değiştirdiği bölüm olarak yorumlanıyor
• 30 Nisan 2026 20:50:29 UTC'de yeni müşteri ilişkisi kamuya açık biçimde görünür hale geldi