حوزهی فناوری کشور واپسین روزهای سال ۱۳۹۹ را در حالی سپری کرد که شاهد یکی از بزرگترین اتفاقات در عمر خود بود. آروان بهعنوان یکی از شرکتهای جوان و در عین حال بسیار پیشرو حوزهی فناوری کشور به ناگاه و بر اثر مواجهه با حملات سایبری به دیتاسنتر IR-THR-AT1 این شرکت، به سوژهی اصلی اخبار تبدیل شد و شکایات متعدد مشتریان شرکت در فضای مجازی، بیشازپیش آن را در مرکز توجه قرار داد. حال با گذشت بیش از دو هفته از آغاز سال نو و رفع مشکلات پیشآمده، آروان با برگزاری نشست خبری، به ابعاد مختلف حملهی هکری انجامشده پرداخت.
آروانیها ضمناً گزارشی ۳۱ صفحهای را مشتمل بر ۴ بخش منتشر کردهاند که طی آن به شرح اتفاقات پیشآمده پرداخته و اقدامات خود در جریان حملات و همچنین اقدامات جبرانی را شرح دادهاند. بخش اول گزارش به خط زمانی واقعه و اقدامات انجامشده اختصاص دارد که اولین نسخه از آن در تاریخ سوم فروردین و پس از دفع حملات و همزمان با انجام اقدامات ریکاوری منتشر شد.
بر اساس گزارش آروان، متخصصان این شرکت پس از راهاندازی کلاستر جدید، از تاریخ ۴ فروردین، کلاسترهای جدید را پیکرهبندی و پس از دستیابی به پایداری مناسب و افزایش نفرات تیمهای پشتیبانی و فنی، بازیابی اطلاعات را آغاز کردهاند.
آروان اقدامات خود را تا ۱۲ فروردین و طی تعطیلات نوروزی ادامه داد و در گزارش خط زمانی واقعه، اقدامات انجامشده طی روز ۱۲ فروردینماه را چنین تشریح کرده است:
با تداوم پشتیبانی و بازیابی سرویس مشتریان، تا روز پنجشنبه، تمامی ابرکهای موجود در دیتاسنتر IR-THR-AT1 که قابلیت بررسی سیستمی را داشتند، مورد بررسی اولیه قرار گرفتند. از این میان سیستمعامل ۸۳٫۹ درصد بدون مشکل بود یا مشکل آن به کمک تیمهای فنی برطرف شد. همچنین ۹٫۷ درصد ابرکهای بررسیشده در دستور کار برای مرحله دوم بازرسی و بازیابی قرار گرفتند. متأسفانه امکان بازیابی ۶.۴ درصد از ابرکها وجود نداشت که تلاش شد دیتای این ابرکها به ابرک جدید منتقل شود.
آروان میگوید طی بازهی زمانی شروع حملات تا پایداری سیستم، تیم پشتیبانی و فنی خود را طی سه نوبت از ۲۰ به ۸۰ نفر و سپس به ۱۰۵ نفر افزایش داده است. آروانیها از پاسخگویی به بیش از ۸۳۰۰ تماس تلفنی و همچنین ۳۶۰۰ تیکت خبر دادهاند که همزمان با بررسی ۷ هزار ابرک طی بیش از دو هفته اتفاق افتاده است.
بخش دوم گزارش آروان به مباحث فنی مربوط به اقدامات این شرکت اختصاص دارد. آروانیها در بخش فنی به مشکلات ثانویه پس از بازیابی اولیهی کلاسترها پرداختهاند که نتیجهی آن وقفه و اختلال در روند بازیابی ابرکها بوده است. آروان در گزارش خود میگوید:
روز جمعه ۲۹ اسفند ۱۳۹۹، همزمان حجم بالایی از کاربران برای درست کردن فایلسیستم یا پشتیبانگیری دیتا مشغول به کار شدند. به دلیل مشکلات پیشآمده و ریکاور کردن کلاستر ذخیرهسازی در یک فشار زمانی کوتاه، کلاستر موفق به تهیهی سه نسخه از تمام دادهها نشده بود، همچنین برای ساخت ابرکهای جدید برای انتقال اطلاعات روی آن نیاز به فضای بیشتری بود و در نتیجه باید ظرفیت کلاستری که بهسختی آسیبدیده بود نیز افزایش پیدا میکرد. برای رفع این مشکل، به میزان ۴۰۰ ترابایت دیسک به کلاستر اضافه شد.
تزریق منابع جدید، یعنی وزندهی دوبارهی دیسکها (Rebalance) که سبب درگیری شدید زیرساخت و قفل شدن کلاستر میشود. به همین دلیل، در این روز، وضعیت بحرانیتر شد.
بهطور خلاصه مشکل اصلی کلاستر ذخیرهسازی تأثیر تسلسل دو مشکل ReMirroring-Storm و یک Memory Leak در لایهی نرمافزاری Ceph در شرایط خاص بود که همافزایی آنها سبب به اغما رفتن کلاستر میشد. تعداد بالایی از Placement group-های کلاستر ذخیرهسازی در حالت خطا قرار گرفتند و میزان سرعت نوشتن و خواندن اطلاعات از سوی کاربران (ابرکها) کاهش و به عدد صفر نزدیک شد.
کلاستر در چنین موقعیتی و در هنگامیکه در حالت ریکاور برای اصلاح وضعیت PG-ها قرار میگرفت، به دلایلی که گفته شد با flapشدن OSD-ها (سرویسهای نگهدارندهی اطلاعات) دوباره سبب به اغما رفتن کلاستر و شروع دوبارهی یک چرخه معیوب میشدند.
آروان در ادامه به تشریح اقدامات خود از بعد فنی پرداخته و روش حل مشکلات پیشآمده برای کلاستر را توضیح داده است.
شرکت آروان در گزارش کالبدشکافی خود به ارائهی آماری از ابعاد حمله و آسیبهای واردشده پرداخته است. حملهی ۲۶ اسفندماه به زیرساخت آروان ۲۵۰۰ مشترک و بیش از ۷۰۰۰ ابرک را درگیر کرد. آروان حملهی انجامشده را بهصورت خلاصه چنین تشریح میکند:
حملهی سایبری بهمنظور تخریب و حذف اطلاعات مشتریان در دیتاسنتر AR-THR-AT1 که منجر به از دسترس خارج شدن سرویسهای ۲۵۰۰ مشترک شد. پس از این حمله، بیش از ۹۷ درصد از اطلاعات حذفشده بهطور کامل بازیابی شد، اما این ۳ درصد اطلاعات حذفشده، باعث آسیب به حدود ۹ درصد از کل ابرکها شدند.
آروان در راستای جبران، میگوید با تغییر سطوح پشتیبانی، پشتیبانی پایه و تماس تلفنی را برای بخش بزرگی از مشترکان غیر رایگان خود بدون پرداخت هزینه فعال خواهد کرد. این شرکت همچنین از مذاکره با شرکتهای معتبر بیمه خبر میدهد تا با همکاری آنها، بیمهی مسئولیت را برای جبران خسارت و مواجهه با حملات سایبری و آسیبهای زیرساخت در ایران ایجاد کند.
گزارش آروان از حمله سایبری به زیرساخت ابری
نظر شما در مورد حمله سایبری انجامشده و واکنش آروان چیست؟