گزارش حمله به زيرساخت‌ ابري آروان همزمان با نشست خبري اين شركت منتشر شد

حوزه‌ي فناوري كشور واپسين روزهاي سال ۱۳۹۹ را در حالي سپري كرد كه شاهد يكي از بزرگ‌ترين اتفاقات در عمر خود بود. آروان به‌عنوان يكي از شركت‌هاي جوان و در عين حال بسيار پيشرو حوزه‌ي فناوري كشور به ناگاه و بر اثر مواجهه با حملات سايبري به ديتاسنتر IR-THR-AT1 اين شركت، به سوژه‌ي اصلي اخبار تبديل شد و شكايات متعدد مشتريان شركت در فضاي مجازي، بيش‌ازپيش آن را در مركز توجه قرار داد. حال با گذشت بيش از دو هفته از آغاز سال نو و رفع اشكالات پيش‌آمده، آروان با برگزاري نشست خبري، به ابعاد مختلف حمله‌ي هكري انجام‌شده پرداخت. 

آرواني‌ها ضمناً گزارشي ۳۱ صفحه‌اي را مشتمل بر ۴ بخش منتشر كرده‌اند كه طي آن به شرح اتفاقات پيش‌آمده پرداخته و اقدامات خود در جريان حملات و همچنين اقدامات جبراني را شرح داده‌اند. بخش اول گزارش به خط زماني واقعه و اقدامات انجام‌شده اختصاص دارد كه اولين نسخه از آن در تاريخ سوم فروردين و پس از دفع حملات و هم‌زمان با انجام اقدامات ريكاوري منتشر شد. 

بر اساس گزارش آروان، متخصصان اين شركت پس از راه‌اندازي كلاستر جديد، از تاريخ ۴ فروردين، كلاسترهاي جديد را پيكره‌بندي و پس از دستيابي به پايداري مناسب و افزايش نفرات تيم‌هاي همراهي و متخصص، بازيابي اطلاعات را آغاز كرده‌اند. 

آروان اقدامات خود را تا ۱۲ فروردين و طي تعطيلات نوروزي ادامه داد و در گزارش خط زماني واقعه، اقدامات انجام‌شده طي روز ۱۲ فروردين‌ماه را چنين تشريح كرده است:

با تداوم همراهي و بازيابي سرويس مشتريان، تا روز پنج‌شنبه، تمامي ابرك‌هاي موجود در ديتاسنتر  IR-THR-AT1 كه قابليت مطالعه سيستمي را داشتند، مورد مطالعه اوليه قرار گرفتند. از اين ميان سيستم‌عامل ۸۳٫۹ درصد بدون اشكال بود يا اشكال آن به كمك تيم‌هاي متخصص برطرف شد. همچنين ۹٫۷ درصد ابرك‌هاي مطالعه‌شده در دستور كار براي مرحله دوم بازرسي و بازيابي قرار گرفتند. متأسفانه امكان بازيابي ۶.۴ درصد از ابرك‌ها وجود نداشت كه تلاش شد ديتاي اين ابرك‌ها به ابرك جديد منتقل شود.

آروان مي‌گويد طي بازه‌ي زماني شروع حملات تا پايداري سيستم، تيم همراهي و متخصص خود را طي سه نوبت از ۲۰ به ۸۰ نفر و سپس به ۱۰۵ نفر افزايش داده است. آرواني‌ها از پاسخگويي به بيش از ۸۳۰۰ تماس تلفني و همچنين ۳۶۰۰ تيكت خبر داده‌اند كه هم‌زمان با مطالعه ۷ هزار ابرك طي بيش از دو هفته اتفاق افتاده است.

بخش دوم گزارش آروان به مباحث متخصص مربوط به اقدامات اين شركت اختصاص دارد. آرواني‌ها در بخش متخصص به اشكالات ثانويه پس از بازيابي اوليه‌ي كلاستر‌ها پرداخته‌اند كه نتيجه‌ي آن وقفه و اختلال در روند بازيابي ابرك‌ها بوده است. آروان در گزارش خود مي‌گويد:

روز جمعه ۲۹ اسفند ۱۳۹۹، هم‌زمان حجم بالايي از متخصصان براي درست كردن فايل‌سيستم يا همراه‌گيري ديتا مشغول به كار شدند. به دليل اشكالات پيش‌آمده و ريكاور كردن كلاستر ذخيره‌سازي در يك فشار زماني كوتاه، كلاستر موفق به تهيه‌ي سه نسخه از تمام داده‌ها نشده بود، همچنين براي ساخت ابرك‌هاي جديد براي انتقال اطلاعات روي آن نياز به فضاي بيش‌تري بود و در نتيجه بايد ظرفيت كلاستري كه به‌سختي آسيب‌ديده بود نيز افزايش پيدا مي‌كرد. براي رفع اين اشكال، به ميزان ۴۰۰ ترابايت ديسك به كلاستر اضافه شد.تزريق منابع جديد، يعني وزن‌دهي دوباره‌ي ديسك‌ها (Rebalance) كه سبب درگيري شديد زيرساخت و قفل شدن كلاستر مي‌شود. به همين دليل، در اين روز، وضعيت‌ بحراني‌تر شد.به‌طور خلاصه اشكال اصلي كلاستر ذخيره‌سازي تأثير تسلسل دو اشكال ReMirroring-Storm و يك Memory Leak در لايه‌‌ي نرم‌افزاري Ceph در شرايط خاص بود كه هم‌افزايي آن‌ها سبب به اغما رفتن كلاستر مي‌شد. تعداد بالايي از Placement group-هاي كلاستر ذخيره‌سازي در حالت خطا قرار گرفتند و ميزان سرعت نوشتن و خواندن اطلاعات از سوي متخصصان (ابرك‌ها) كاهش و به عدد صفر نزديك شد. كلاستر در چنين موقعيتي و در هنگامي‌كه در حالت ريكاور براي اصلاح وضعيت PG-ها قرار مي‌گرفت، به دلايلي كه گفته شد با flap‌شدن OSD-ها (سرويس‌هاي نگه‌دارنده‌ي اطلاعات) دوباره سبب به اغما رفتن كلاستر و شروع دوباره‌ي يك چرخه معيوب مي‌شدند.

آروان در ادامه به تشريح اقدامات خود از بعد متخصص پرداخته و روش حل اشكالات پيش‌آمده براي كلاستر را توضيح داده است. 

شركت آروان در گزارش كالبدشكافي خود به ارائه‌ي آماري از ابعاد حمله و آسيب‌هاي واردشده پرداخته است. حمله‌ي ۲۶ اسفندماه به زيرساخت آروان ۲۵۰۰ مشترك و بيش از ۷۰۰۰ ابرك را درگير كرد. آروان حمله‌ي انجام‌شده را به‌صورت خلاصه چنين تشريح مي‌كند:

حمله‌ي سايبري به‌منظور تخريب و حذف اطلاعات مشتريان در ديتاسنتر AR-THR-AT1 كه منجر به از دسترس خارج شدن سرويس‌هاي ۲۵۰۰ مشترك شد. پس از اين حمله، بيش از ۹۷ درصد از اطلاعات حذف‌شده به‌طور كامل بازيابي شد، اما اين ۳ درصد اطلاعات حذف‌شده، باعث آسيب به حدود ۹ درصد از كل ابرك‌ها شدند. 

آروان در راستاي جبران، مي‌گويد با تغيير سطوح همراهي، همراهي پايه و تماس تلفني را براي بخش بزرگي از مشتركان غير رايگان خود بدون پرداخت هزينه فعال خواهد كرد. اين شركت همچنين از مذاكره با شركت‌هاي معتبر بيمه خبر مي‌دهد تا با همكاري آن‌ها، بيمه‌ي مسئوليت را براي جبران خسارت و مواجهه با حملات سايبري و آسيب‌هاي زيرساخت در ايران ايجاد كند. 

گزارش آروان از حمله سايبري به زيرساخت ابري

انديشه متخصصين شما در مورد حمله سايبري انجام‌شده و واكنش آروان چيست؟