گزارش حمله به زيرساخت ابري آروان همزمان با نشست خبري اين شركت منتشر شد
حوزهي فناوري كشور واپسين روزهاي سال ۱۳۹۹ را در حالي سپري كرد كه شاهد يكي از بزرگترين اتفاقات در عمر خود بود. آروان بهعنوان يكي از شركتهاي جوان و در عين حال بسيار پيشرو حوزهي فناوري كشور به ناگاه و بر اثر مواجهه با حملات سايبري به ديتاسنتر IR-THR-AT1 اين شركت، به سوژهي اصلي اخبار تبديل شد و شكايات متعدد مشتريان شركت در فضاي مجازي، بيشازپيش آن را در مركز توجه قرار داد. حال با گذشت بيش از دو هفته از آغاز سال نو و رفع اشكالات پيشآمده، آروان با برگزاري نشست خبري، به ابعاد مختلف حملهي هكري انجامشده پرداخت.
آروانيها ضمناً گزارشي ۳۱ صفحهاي را مشتمل بر ۴ بخش منتشر كردهاند كه طي آن به شرح اتفاقات پيشآمده پرداخته و اقدامات خود در جريان حملات و همچنين اقدامات جبراني را شرح دادهاند. بخش اول گزارش به خط زماني واقعه و اقدامات انجامشده اختصاص دارد كه اولين نسخه از آن در تاريخ سوم فروردين و پس از دفع حملات و همزمان با انجام اقدامات ريكاوري منتشر شد.
بر اساس گزارش آروان، متخصصان اين شركت پس از راهاندازي كلاستر جديد، از تاريخ ۴ فروردين، كلاسترهاي جديد را پيكرهبندي و پس از دستيابي به پايداري مناسب و افزايش نفرات تيمهاي همراهي و متخصص، بازيابي اطلاعات را آغاز كردهاند.
آروان اقدامات خود را تا ۱۲ فروردين و طي تعطيلات نوروزي ادامه داد و در گزارش خط زماني واقعه، اقدامات انجامشده طي روز ۱۲ فروردينماه را چنين تشريح كرده است:
با تداوم همراهي و بازيابي سرويس مشتريان، تا روز پنجشنبه، تمامي ابركهاي موجود در ديتاسنتر IR-THR-AT1 كه قابليت مطالعه سيستمي را داشتند، مورد مطالعه اوليه قرار گرفتند. از اين ميان سيستمعامل ۸۳٫۹ درصد بدون اشكال بود يا اشكال آن به كمك تيمهاي متخصص برطرف شد. همچنين ۹٫۷ درصد ابركهاي مطالعهشده در دستور كار براي مرحله دوم بازرسي و بازيابي قرار گرفتند. متأسفانه امكان بازيابي ۶.۴ درصد از ابركها وجود نداشت كه تلاش شد ديتاي اين ابركها به ابرك جديد منتقل شود.
آروان ميگويد طي بازهي زماني شروع حملات تا پايداري سيستم، تيم همراهي و متخصص خود را طي سه نوبت از ۲۰ به ۸۰ نفر و سپس به ۱۰۵ نفر افزايش داده است. آروانيها از پاسخگويي به بيش از ۸۳۰۰ تماس تلفني و همچنين ۳۶۰۰ تيكت خبر دادهاند كه همزمان با مطالعه ۷ هزار ابرك طي بيش از دو هفته اتفاق افتاده است.
بخش دوم گزارش آروان به مباحث متخصص مربوط به اقدامات اين شركت اختصاص دارد. آروانيها در بخش متخصص به اشكالات ثانويه پس از بازيابي اوليهي كلاسترها پرداختهاند كه نتيجهي آن وقفه و اختلال در روند بازيابي ابركها بوده است. آروان در گزارش خود ميگويد:
روز جمعه ۲۹ اسفند ۱۳۹۹، همزمان حجم بالايي از متخصصان براي درست كردن فايلسيستم يا همراهگيري ديتا مشغول به كار شدند. به دليل اشكالات پيشآمده و ريكاور كردن كلاستر ذخيرهسازي در يك فشار زماني كوتاه، كلاستر موفق به تهيهي سه نسخه از تمام دادهها نشده بود، همچنين براي ساخت ابركهاي جديد براي انتقال اطلاعات روي آن نياز به فضاي بيشتري بود و در نتيجه بايد ظرفيت كلاستري كه بهسختي آسيبديده بود نيز افزايش پيدا ميكرد. براي رفع اين اشكال، به ميزان ۴۰۰ ترابايت ديسك به كلاستر اضافه شد.تزريق منابع جديد، يعني وزندهي دوبارهي ديسكها (Rebalance) كه سبب درگيري شديد زيرساخت و قفل شدن كلاستر ميشود. به همين دليل، در اين روز، وضعيت بحرانيتر شد.بهطور خلاصه اشكال اصلي كلاستر ذخيرهسازي تأثير تسلسل دو اشكال ReMirroring-Storm و يك Memory Leak در لايهي نرمافزاري Ceph در شرايط خاص بود كه همافزايي آنها سبب به اغما رفتن كلاستر ميشد. تعداد بالايي از Placement group-هاي كلاستر ذخيرهسازي در حالت خطا قرار گرفتند و ميزان سرعت نوشتن و خواندن اطلاعات از سوي متخصصان (ابركها) كاهش و به عدد صفر نزديك شد. كلاستر در چنين موقعيتي و در هنگاميكه در حالت ريكاور براي اصلاح وضعيت PG-ها قرار ميگرفت، به دلايلي كه گفته شد با flapشدن OSD-ها (سرويسهاي نگهدارندهي اطلاعات) دوباره سبب به اغما رفتن كلاستر و شروع دوبارهي يك چرخه معيوب ميشدند.
آروان در ادامه به تشريح اقدامات خود از بعد متخصص پرداخته و روش حل اشكالات پيشآمده براي كلاستر را توضيح داده است.
شركت آروان در گزارش كالبدشكافي خود به ارائهي آماري از ابعاد حمله و آسيبهاي واردشده پرداخته است. حملهي ۲۶ اسفندماه به زيرساخت آروان ۲۵۰۰ مشترك و بيش از ۷۰۰۰ ابرك را درگير كرد. آروان حملهي انجامشده را بهصورت خلاصه چنين تشريح ميكند:
حملهي سايبري بهمنظور تخريب و حذف اطلاعات مشتريان در ديتاسنتر AR-THR-AT1 كه منجر به از دسترس خارج شدن سرويسهاي ۲۵۰۰ مشترك شد. پس از اين حمله، بيش از ۹۷ درصد از اطلاعات حذفشده بهطور كامل بازيابي شد، اما اين ۳ درصد اطلاعات حذفشده، باعث آسيب به حدود ۹ درصد از كل ابركها شدند.
آروان در راستاي جبران، ميگويد با تغيير سطوح همراهي، همراهي پايه و تماس تلفني را براي بخش بزرگي از مشتركان غير رايگان خود بدون پرداخت هزينه فعال خواهد كرد. اين شركت همچنين از مذاكره با شركتهاي معتبر بيمه خبر ميدهد تا با همكاري آنها، بيمهي مسئوليت را براي جبران خسارت و مواجهه با حملات سايبري و آسيبهاي زيرساخت در ايران ايجاد كند.
گزارش آروان از حمله سايبري به زيرساخت ابري
انديشه متخصصين شما در مورد حمله سايبري انجامشده و واكنش آروان چيست؟
هم انديشي ها