گزارش حمله به زیرساخت‌ ابری آروان همزمان با نشست خبری این شرکت منتشر شد

حوزه‌ی فناوری کشور واپسین روزهای سال ۱۳۹۹ را در حالی سپری کرد که شاهد یکی از بزرگ‌ترین اتفاقات در عمر خود بود. آروان به‌عنوان یکی از شرکت‌های جوان و در عین حال بسیار پیشرو حوزه‌ی فناوری کشور به ناگاه و بر اثر مواجهه با حملات سایبری به دیتاسنتر IR-THR-AT1 این شرکت، به سوژه‌ی اصلی اخبار تبدیل شد و شکایات متعدد مشتریان شرکت در فضای مجازی، بیش‌ازپیش آن را در مرکز توجه قرار داد. حال با گذشت بیش از دو هفته از آغاز سال نو و رفع مشکلات پیش‌آمده، آروان با برگزاری نشست خبری، به ابعاد مختلف حمله‌ی هکری انجام‌شده پرداخت. 

آروانی‌ها ضمناً گزارشی ۳۱ صفحه‌ای را مشتمل بر ۴ بخش منتشر کرده‌اند که طی آن به شرح اتفاقات پیش‌آمده پرداخته و اقدامات خود در جریان حملات و همچنین اقدامات جبرانی را شرح داده‌اند. بخش اول گزارش به خط زمانی واقعه و اقدامات انجام‌شده اختصاص دارد که اولین نسخه از آن در تاریخ سوم فروردین و پس از دفع حملات و هم‌زمان با انجام اقدامات ریکاوری منتشر شد. 

بر اساس گزارش آروان، متخصصان این شرکت پس از راه‌اندازی کلاستر جدید، از تاریخ ۴ فروردین، کلاسترهای جدید را پیکره‌بندی و پس از دستیابی به پایداری مناسب و افزایش نفرات تیم‌های پشتیبانی و فنی، بازیابی اطلاعات را آغاز کرده‌اند. 

آروان اقدامات خود را تا ۱۲ فروردین و طی تعطیلات نوروزی ادامه داد و در گزارش خط زمانی واقعه، اقدامات انجام‌شده طی روز ۱۲ فروردین‌ماه را چنین تشریح کرده است:

با تداوم پشتیبانی و بازیابی سرویس مشتریان، تا روز پنج‌شنبه، تمامی ابرک‌های موجود در دیتاسنتر  IR-THR-AT1 که قابلیت بررسی سیستمی را داشتند، مورد بررسی اولیه قرار گرفتند. از این میان سیستم‌عامل ۸۳٫۹ درصد بدون مشکل بود یا مشکل آن به کمک تیم‌های فنی برطرف شد. همچنین ۹٫۷ درصد ابرک‌های بررسی‌شده در دستور کار برای مرحله دوم بازرسی و بازیابی قرار گرفتند. متأسفانه امکان بازیابی ۶.۴ درصد از ابرک‌ها وجود نداشت که تلاش شد دیتای این ابرک‌ها به ابرک جدید منتقل شود.

آروان می‌گوید طی بازه‌ی زمانی شروع حملات تا پایداری سیستم، تیم پشتیبانی و فنی خود را طی سه نوبت از ۲۰ به ۸۰ نفر و سپس به ۱۰۵ نفر افزایش داده است. آروانی‌ها از پاسخگویی به بیش از ۸۳۰۰ تماس تلفنی و همچنین ۳۶۰۰ تیکت خبر داده‌اند که هم‌زمان با بررسی ۷ هزار ابرک طی بیش از دو هفته اتفاق افتاده است.

بخش دوم گزارش آروان به مباحث فنی مربوط به اقدامات این شرکت اختصاص دارد. آروانی‌ها در بخش فنی به مشکلات ثانویه پس از بازیابی اولیه‌ی کلاستر‌ها پرداخته‌اند که نتیجه‌ی آن وقفه و اختلال در روند بازیابی ابرک‌ها بوده است. آروان در گزارش خود می‌گوید:

روز جمعه ۲۹ اسفند ۱۳۹۹، هم‌زمان حجم بالایی از کاربران برای درست کردن فایل‌سیستم یا پشتیبان‌گیری دیتا مشغول به کار شدند. به دلیل مشکلات پیش‌آمده و ریکاور کردن کلاستر ذخیره‌سازی در یک فشار زمانی کوتاه، کلاستر موفق به تهیه‌ی سه نسخه از تمام داده‌ها نشده بود، همچنین برای ساخت ابرک‌های جدید برای انتقال اطلاعات روی آن نیاز به فضای بیش‌تری بود و در نتیجه باید ظرفیت کلاستری که به‌سختی آسیب‌دیده بود نیز افزایش پیدا می‌کرد. برای رفع این مشکل، به میزان ۴۰۰ ترابایت دیسک به کلاستر اضافه شد.تزریق منابع جدید، یعنی وزن‌دهی دوباره‌ی دیسک‌ها (Rebalance) که سبب درگیری شدید زیرساخت و قفل شدن کلاستر می‌شود. به همین دلیل، در این روز، وضعیت‌ بحرانی‌تر شد.به‌طور خلاصه مشکل اصلی کلاستر ذخیره‌سازی تأثیر تسلسل دو مشکل ReMirroring-Storm و یک Memory Leak در لایه‌‌ی نرم‌افزاری Ceph در شرایط خاص بود که هم‌افزایی آن‌ها سبب به اغما رفتن کلاستر می‌شد. تعداد بالایی از Placement group-های کلاستر ذخیره‌سازی در حالت خطا قرار گرفتند و میزان سرعت نوشتن و خواندن اطلاعات از سوی کاربران (ابرک‌ها) کاهش و به عدد صفر نزدیک شد. کلاستر در چنین موقعیتی و در هنگامی‌که در حالت ریکاور برای اصلاح وضعیت PG-ها قرار می‌گرفت، به دلایلی که گفته شد با flap‌شدن OSD-ها (سرویس‌های نگه‌دارنده‌ی اطلاعات) دوباره سبب به اغما رفتن کلاستر و شروع دوباره‌ی یک چرخه معیوب می‌شدند.

آروان در ادامه به تشریح اقدامات خود از بعد فنی پرداخته و روش حل مشکلات پیش‌آمده برای کلاستر را توضیح داده است. 

شرکت آروان در گزارش کالبدشکافی خود به ارائه‌ی آماری از ابعاد حمله و آسیب‌های واردشده پرداخته است. حمله‌ی ۲۶ اسفندماه به زیرساخت آروان ۲۵۰۰ مشترک و بیش از ۷۰۰۰ ابرک را درگیر کرد. آروان حمله‌ی انجام‌شده را به‌صورت خلاصه چنین تشریح می‌کند:

حمله‌ی سایبری به‌منظور تخریب و حذف اطلاعات مشتریان در دیتاسنتر AR-THR-AT1 که منجر به از دسترس خارج شدن سرویس‌های ۲۵۰۰ مشترک شد. پس از این حمله، بیش از ۹۷ درصد از اطلاعات حذف‌شده به‌طور کامل بازیابی شد، اما این ۳ درصد اطلاعات حذف‌شده، باعث آسیب به حدود ۹ درصد از کل ابرک‌ها شدند. 

آروان در راستای جبران، می‌گوید با تغییر سطوح پشتیبانی، پشتیبانی پایه و تماس تلفنی را برای بخش بزرگی از مشترکان غیر رایگان خود بدون پرداخت هزینه فعال خواهد کرد. این شرکت همچنین از مذاکره با شرکت‌های معتبر بیمه خبر می‌دهد تا با همکاری آن‌ها، بیمه‌ی مسئولیت را برای جبران خسارت و مواجهه با حملات سایبری و آسیب‌های زیرساخت در ایران ایجاد کند. 

گزارش آروان از حمله سایبری به زیرساخت ابری

نظر شما در مورد حمله سایبری انجام‌شده و واکنش آروان چیست؟