Hacker News • 19일 전

클라우드플레어, 캐노니컬을 협박한 것일까?

IMP

8/10

핵심 요약

2026년 4월, 친(親) 이란 해커 그룹이 DDoS 공격 도구인 'Beamed'를 이용해 우분투 개발사 캐노니컬의 인프라를 약 20시간 동안 마비시켰습니다. 문제는 이 공격 도구의 운영 인프라와 피해자인 캐노니컬이 모두 같은 클라우드플레어(Cloudflare)의 서비스를 이용 중이라는 점입니다. 이로 인해 공격자의 프론트엔드를 무료로 보호하면서 피해자에게는 방어 비용을 청구하는 클라우드플레어의 행태가 사실상 협박이 아니냐는 강력한 비판이 제기되고 있습니다.

번역된 본문

2026년 4월 30일 16:33:37 UTC. 캐노니컬(Canonical)의 인시던트 모니터링 시스템이 blog.ubuntu.com을 '서비스 중단(Service Down)'으로 표시했습니다. 10분 안에 해당 회사의 공개 웹사이트 나머지도 모두 다운되었습니다. 메인 사이트인 ubuntu.com, 다운스트림 패키지 관리가 의존하는 보안 권고 API, 개발자 포털, 기업용 사이트, 교육 플랫폼 등이 모두 포함되었습니다. 이러한 장애는 약 20시간 동안 지속되었습니다. 2026년 5월 1일 12:44 UTC. 서비스가 복구되었습니다.

공격에 대한 책임을 주장한 그룹은 유료 서비스를 사용했다고 밝혔습니다. 이들이 임대한 도구 중 하나는 'Beamed'라는 상업용 서비스 거부(DoS) 제품입니다. 이 제품은 여러 최상위 도메인(TLD)으로 판매되며, beamed.su는 마케팅 및 블로그 사이트로, beamed.st는 고객 로그인 포털로 사용되고 있습니다.

2026년 4월의 블로그 게시물인 "고급 스트레서(Stresser) 방법을 사용하여 Cloudflare 우회하는 법"은 Cloudflare 보호를 무력화하기 위한 세 가지 기법을 광고합니다. 여기에는 주거용 IP(Residential IP) 회전과 원본 서버(origin server)를 찾아내기 위한 수동 '엔드포인트 헌팅(endpoint hunting)'이 포함됩니다.

Beamed는 자신들이 파는 것이 무엇인지 명확하게 밝히고 있습니다. "Cloudflare는 리버스 프록시 역할을 하여 원본 서버의 IP 주소를 숨깁니다. 많은 저품질 부터(Booter, DDoS 공격 도구)는 '공격 모드(Under Attack Mode)'나 '봇 방지 모드(Bot Fight Mode)'에 부딪혀 실패합니다. Beamed.su는 Cloudflare 및 유사 CDN으로 보호되는 웹사이트를 효과적으로 스트레스 테스트하기 위해 여러 고급 기술을 사용합니다."

이 문단을 포함한 블로그 게시물 자체가 Cloudflare를 통해 서비스됩니다. 판매되는 제품은 'Cloudflare 우회'입니다. 판매자의 호스팅 제공업체는 Cloudflare입니다. 공격 일주일 후에도 beamed.su와 beamed.st는 여전히 온라인 상태입니다. 두 도메인 모두 Cloudflare AS13335 주소로 확인됩니다.

캐노니컬의 두 리포지토리 엔드포인트인 security.ubuntu.com과 archive.ubuntu.com 역시 유료 고객 관계로 Cloudflare AS13335 주소로 확인됩니다. Cloudflare는 공격자의 프론트엔드는 무료로 보호해주면서, 피해자에게는 방어를 대가로 비용을 청구하는 셈입니다.

제가 반복해서 묻는 질문은 방금 일어난 일이 사실상 협박에 해당하는지, 그리고 책임을 주장한 행위자(이라크 내 이슬람 사이버 저항이라고 스스로를 밝히고 313 Team이라고도 하는 친(親) 이란 그룹)가 어떻게 자신들이 프론트엔드 인프라를 운영하는 회사와 동일한 회사의 인프라를 통해 공격 능력을 임대하게 되었는지, 그리고 결국 캐노니컬이 피해 복구를 위해 돈을 지불한 대상이 바로 그 회사인지에 대한 것입니다.

Beamed의 소비자 대상 도메인은 Immaterialism Limited라는 등록대행자(Registrar)를 통해 등록되었습니다. 이 회사는 정액제 및 JSON API를 통해 도메인 등록 서비스를 제공합니다. 마찰 없이 자동화된 저렴한 등록은 일반적으로 악용 호스팅과 연관됩니다. Immateriali.sm 자체도 Cloudflare 네임서버(tani.ns.cloudflare.com 및 trey.ns.cloudflare.com)를 통해 프록시됩니다.

Immaterialism Limited는 영국 기업등기소(Companies House)에 15738452번 회사로 등록되어 있습니다. 이 회사는 2024년 5월 24일 설립되었으며, 런던 그레이트 포틀랜드 스트리트의 대량 우편함 주소지를 두고 코스타리카 국적의 니콜 프리실라 페르난데스 차베스(1993년 3월생)를 단일 이사로 임명했습니다.

2025년 4월 11일, 페르난데스 차베스는 이사직을 사임했지만 경제적 이익(지분)의 75% 이상은 그대로 유지했습니다. 그 자리를 대체한 이사는 같은 주소에서 임명된 영국 거주 영국 국적인 나오미 수잔 콜빈이었습니다.

콜빈은 킬리언 어쌍, 존 필저, 비비안 웨스트우드, 레나타 아빌라 등이 이사진으로 있고 위키리크스 및 바렛 브라운을 지원한 적이 있는 법적 방어 차량인 '용기 재단(Courage Foundation)'의 전 이사입니다. 그녀의 현재 역할은 'Blueprint for Free Speech'의 영국 및 아일랜드 프로그램 디렉터로, 내부자 고발자 보호 및 반-SLAPP(전략적 소송 남용 방지) 소송 업무를 담당하고 있습니다. 로리 러브의 미국 인도를 막았던 법적 캠페인은 그녀의 지휘 하에 진행되었습니다. 그녀는 오랜 기간 활동해 온 활동가입니다.

2026년 2월 26일, Immaterialism Limited는 영국 기업등기소에 같은 날 두 가지 변경 사항을 접수했습니다. 등본상 주소지 변경(그레이트 포틀랜드 스트리트 85번지에서 167-169번지로)과 중요한 지배인(PSC)으로서 페르난데스 차베스의 세부 정보 변경이었습니다. 그 다음 날인 2026년 2월 27일, 라우팅 인프라는... (원문 누락으로 인해 생략됨)

원문 보기

원문 보기 (영어)

30 April 2026, 16:33:37 UTC. Canonical's incident monitoring system marks blog.ubuntu.com as Service Down. Within ten minutes the rest of the company's public web was down as well: the main site ubuntu.com, the security advisory APIs that downstream package management depends on, the developer portal, the corporate site, the training platform. These disruptions ran for roughly twenty hours. 1 May 2026, 12:44 UTC. Service Restored. The group claiming responsibility for the attack said it used a paid service. They named one tool they had rented: a commercial denial-of-service product called Beamed , sold under multiple TLDs, with beamed.su serving as the marketing and blog site and beamed.st serving as the customer login portal. The April 2026 blog post " How to Bypass Cloudflare with Advanced Stresser Methods " advertises three named techniques for defeating Cloudflare protection, including residential IP rotation and manual "endpoint hunting" to locate origin servers. Beamed is explicit about what it sells: Cloudflare acts as a reverse proxy, hiding the origin server's IP address. Many low-quality booters fail against "Under Attack Mode" or Bot Fight Mode. Beamed.su employs several advanced techniques to effectively stress test websites protected by Cloudflare and similar CDNs. The blog post hosting this paragraph is itself served by Cloudflare. The product sold is Cloudflare bypass. The hosting provider for the seller is Cloudflare. A week after the attack, beamed.su and beamed.st remain online. Both resolve to Cloudflare AS13335 addresses. Canonical's two repository endpoints, security.ubuntu.com and archive.ubuntu.com, also resolve to Cloudflare AS13335 addresses, as a paid customer relationship. Cloudflare fronts attackers for free and bills the victims for relief. The question I repeatedly have been asked is whether what just happened amounts to blackmail , and how the actor that claimed responsibility (a self-described pro-Iranian group calling itself the Islamic Cyber Resistance in Iraq, also styled as 313 Team) ends up renting attack capacity from a service whose front-end infrastructure is operated by the same company that Canonical eventually paid for relief. Beamed's consumer-facing domains are registered through a registrar called Immaterialism Limited, which sells domain registration on a flat-rate basis and via a JSON API. Cheap, automated registration with zero friction is typically associated with abuse hosting. Immateriali.sm is itself proxied through Cloudflare nameservers (tani.ns.cloudflare.com and trey.ns.cloudflare.com). Immaterialism Limited is registered at Companies House in the United Kingdom under company number 15738452. It was incorporated on 24 May 2024 with one director, Nicole Priscila Fernandez Chaves of Costa Rica (date of birth March 1993), at a mass-mailbox address on Great Portland Street in London. On 11 April 2025 Fernandez Chaves resigned the directorship while retaining 75 percent or more of the economic interest. The replacement director was Naomi Susan Colvin, a British national resident in England, appointed at the same address. Colvin is the former Director of the Courage Foundation, the legal-defence vehicle whose trustees have included Julian Assange, John Pilger, Vivienne Westwood, and Renata Avila, and which has supported beneficiaries including WikiLeaks and Barrett Brown. Her current role is UK and Ireland Programme Director at Blueprint for Free Speech, working on whistleblower protection and anti-SLAPP litigation. The legal campaign that prevented the extradition of Lauri Love to the United States ran under her direction. She is a longstanding activist. On 26 February 2026 Immaterialism Limited filed two changes at Companies House on the same day: a registered office change (from 85 Great Portland Street to 167-169 Great Portland Street) and a change of details for Fernandez Chaves as person with significant control. The next day, 27 February 2026, the routing infrastructure that announces Beamed's IP space and that of related services moved jurisdiction. The autonomous system that announces Materialism's address space is AS39287. RIPE allocated this AS number on 24 January 2006. Its routing identity has been preserved continuously since then, but its registered operator and the country of record have changed twice. From around 2017 to roughly 2020, AS39287 was held by Privactually Ltd, a Cypriot company, and operated under the name FLATTR-AS. Flattr was the micropayments project of Peter Sunde, one of the founders of The Pirate Bay. The abuse contact for prefixes under that registration was abuse@shelter.st. From 2020 to 2026, the same AS number was reassigned to ab stract ltd, a Finnish company at Urho Kekkosen katu 4-6E in Helsinki. Its maintainer object on the RIPE record was BKP-MNT. Named person of record: Peter Kolmisoppi (handle "brokep"), another founder of The Pirate Bay, with a Malmö postal address and the email noc@brokep.com. The authoritative nameservers for the operator's domain abstract.fi were the three Njalla nameservers at njalla.fo, njalla.no, and njalla.in. Njalla is the privacy-as-a-service domain proxy founded by Peter Sunde and operated through 1337 Services LLC in St. Kitts and Nevis. Some prefixes under ab stract carried abuse contacts at cyberdyne.is. Reassignment on 27 February On 27 February 2026, at 12:11:48 UTC, RIPE recorded the third reassignment. AS39287 became the property of Materialism s.r.l., a Romanian company at Bulevardul Metalurgiei in Bucharest, operating under the name "materialism." A Materialism RIPE membership had been provisioned five months earlier, on 30 September 2024, and had then sat dormant. The reassignment included the IPv4 prefix 45.158.116.0/22 and the IPv6 prefixes 2001:67c:2354::/48 and 2a02:6f8::/32, the last of which was originally allocated in August 2008 under the prior regime. The peering arrangements were preserved across all three transitions. AS39287 has continued to import from and export to AS42708 (Telia), AS37560 (GTT), AS12552 (GlobalConnect), AS34244 (Voxility), and AS54990, in identical configuration, from the FLATTR period to the materialism period. The same routes leave the same upstream networks. The visible operator name is the variable. The IANA list of accredited domain registrars also shows that the customer base of Immateriali.sm includes 1337 Services LLC, the trading entity behind Njalla. The registrar end of the chain and the privacy-proxy end are accordingly under the same alumni cluster. 1337 Services. Yeah, I know. Cert rotation on 27 February The relevant certificate transparency record for Canonical's repository endpoints shows the following entries during the same 24-hour window in which the routing reassignment occurred. At 06:14:03 UTC on 27 February, Let's Encrypt issued a fresh apex certificate for archive.ubuntu.com. At 19:13:35 UTC on the same day, Let's Encrypt issued a fresh apex certificate for security.ubuntu.com. The 2026 certificate transparency record for that hostname before this entry contains regional mirror certificates only. An apex certificate at security.ubuntu.com does not appear earlier in the visible log. At 22:14:03 UTC on the same day, a fresh certificate was issued for clouds.archive.ubuntu.com. In the following nine days the same pattern repeated for azure.archive.ubuntu.com, wildcard-gce.archive.ubuntu.com, and wildcard-ec2.archive.ubuntu.com. Each new certificate was issued for the apex hostname rather than for a regional mirror. A valid origin certificate on the apex hostname is a precondition for putting that hostname behind a content delivery network without breaking encryption between the network and the origin. The certificate has to exist at the origin before the network can be told to fetch from there. The synchrony of these two events on 27 February has not yet been explained. The Attack Timeline The minute-by-minute log of the incident is taken from Canonical's own sta

클라우드플레어 DDoS 공격 캐노니컬 사이버 보안 윤리 및 정책