توضیح نهایی «ابر آروان» درباره حمله سایبری اخیر

به گزارش گروه ارتباطات و فناوری اطلاعات خبرگزاری فارس، روز سه‌شنبه ۲۶ اسفند ۱۳۹۹، زیرساخت رایانش ابری آروان (یکی از ده محصول این شرکت) در دیتاسنتر  IR-THR-AT1 با حملات سایبری مواجه شد که هدف از آن‌ها تخریب و حذف اطلاعات مشتریان بود. این حمله در حدود ۱۶درصد از مشتریان غیررایگان ابر آروان را متاثر کرد.

 در این حمله، آن گروهی از مشتریان دچار مشکل اساسی شدند که از داده‌های خود نسخه پشتیبان نداشتند، یا معماری آن‌ها به شکل ابرزی (Cloud Native) نبود و به شکل Multi Availability Zone طراحی نشده بودند.

با آغاز آسیب‌رسانی به دیتای مشتریان، ابر آروان تمام دسترسی‌ها به این دیتاسنتر را قطع کرد تا از توسعه‌ی آسیب‌رسانی جلوگیری شود. بلافاصله اینترنت و شبکه‌ی مدیریتی، هر دو به‌شکل کامل قطع و علاوه‌بر کارشناسان امنیتی، کارشناسان و اعضای تیم فنی به محل دیتاسنتر اعزام شدند تا بدون نیاز به دسترسی از راه دور -که ریسک گسترش یا تکرار حمله را افزایش می‌داد- به بررسی و حل موضوع بپردازند.

با توجه به نوع ذخیره‌سازی اطلاعات در رایانش ابری آروان، در این حمله هکر هیچ‌گونه دسترسی به دیتای مشتریان ابر آروان پیدا نکرد و تنها  موفق به آسیب زدن به اطلاعات و پاک کردن بخشی از آن شد.

پس از حدود ۳۰ ساعت کار پر استرس، با فیکس‌کردن و یکپارچه‌سازی داده در سطح کلاستر، امکان دسترسی به اطلاعات در ساعت ۱۰:۳۰ صبح چهارشنبه فراهم شد. با تداوم کار تیم‌های فنی از صبح روز پنج‌شنبه ۲۸ اسفند مشکلات ریکاوری برطرف و دسترسی مشتریان به این دیتاسنتر باز شد. از این زمان مشتریان این شرکت با همراهی تیم‌های پشتیبانی ابر آروان به بازیابی سرورهای ابری‌شان پرداختند.

روز جمعه، هم‌زمان حجم بالایی از کاربران برای درست کردن فایل‌سیستم یا پشتیبان‌گیری دیتا مشغول به کار شدند. به‌دلیل مشکلات پیش‌آمده و ریکاور کردن کلاستر ذخیره‌سازی در یک فشار زمانی کوتاه، کلاستر موفق به تهیه‌ی سه نسخه از تمام داده‌ها نشده بود، هم‌چنین برای ساخت ابرک‌های جدید برای انتقال اطلاعات روی آن نیاز به فضای بیش‌تر بود و در نتیجه باید ظرفیت کلاستری که به‌سختی آسیب‌دیده بود نیز افزایش پیدا می‌کرد. برای رفع این مشکل، به میزان ۴۰۰ ترابایت استورج به کلاستر اضافه شد. ادامه‌ی این روند سبب شد تا دسترسی‌ مشتریان مجدد قطع شود تا اقدامات فنی برای پایدارسازی کلاستر ذخیره‌سازی انجام شود.

درنهایت از روز شنبه ۷ فروردین ۱۴۰۰ با پایدارسازی زیرساخت و امکان دسترسی به ابرک‌ها روند بازگردانی سرورهای ابری مشتریان از سر گرفته شد و تا پایان هفته ادامه پیدا کرد.

در این حملات، فعالیت سایر محصولات ابر آروان شامل DNS، CDN، ویدیو پلتفرم، فضای ذخیره‌سازی ابری، هم‌چنین رایانش ابری در سایر دیتاسنتر‌های آروان بدون مشکل بود.

با تداوم پشتیبانی و بازیابی سرویس مشتریان، تا روز پنج‌شنبه ۱۲ فروردین، تمامی ابرک‌های موجود در دیتاسنتر  IR-THR-AT1 که قابلیت بررسی سیستمی را داشتند، مورد بررسی اولیه قرار گرفتند. از این میان سیستم‌عامل ۸۳.۹ درصد بدون مشکل بود یا مشکل آن به‌کمک تیم‌های فنی برطرف شد. هم‌چنین ۹.۷ درصد ابرک‌های بررسی شده در دستور کار برای مرحله دوم بازرسی و بازیابی قرار گرفتند. متاسفانه امکان بازیابی ۶.۴ درصد از ابرک‌ها وجود نداشت که تلاش شد دیتای این ابرک‌ها به ابرک جدید منتقل شود.

اقدامات و فرآیندهای امنیتی

پس از این اقدام، ابر آروان سازوکارهای مربوط به تست نفوذ را ارتقا خواهد داد. فاصله بین تست‌های نفوذ داخلی را کاهش و شرکای بیرونی خود در این زمینه را افزایش می‌دهد.
جوایز باگ بانتی آروان به ۲ برابر افزایش یافته و این موضوع در یک سکوی بیرونی نیز قرار گرفته است؛ این مسیر را با جدیت ادامه خواهیم داد.
ابر آروان ارتقا و افزایش سخت‌گیری در سازوکارهای ایمن‌سازی (Hardening)، مدیریت کلید‌ها، مدیریت سطح دسترسی و… را در دستور کار قرار داده است و ارتقا و افزایش سخت‌گیری‌ها در اجرای سازوکارهای مدیریت بحران، مدیریت ریسک و مدیریت تغییرات را سرعت خواهد بخشید.

انتهای پیام/