بررسی گزارش ابر آروان درباره حمله سایبری به زیرساخت این شرکت

کیایی‌فر: اگر اصول اولیه امنیتی طبق ابتدایی‌ترین استانداردها در ابر آروان اجرا می‌شد شاهد چنین حملات ویران‌گری نبودیم. چنین شرکت‌هایی باید به‌صورت دوره‌ای و توسط گروه‌های مختلف و مشاوران مجرب، ساختارهای امنیتی خود را مرور کرده و بهبود مستمر بخشند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روز گذشته، ابر آروان گزارش مبسوطی از حمله سایبری به زیرساخت این شرکت در دیتاسنتر آسیاتک منتشر کرد. حمله‌ای که باعث بروز اختلال گسترده و از دست دادن بخشی از داده‌ها و ایجاد نارضایتی شدید مشتریان این شرکت شد. بحرانی که در واپسین روزهای سال نامیمون ۹۹ رخ داد و همچنان ادامه دارد.

اینک که ابعاد ماجرا شفاف‌تر شده است نکات زیر در خصوص این حادثه قابل توجه است:

1. ابر آروان می‌توانست این گزارش مبسوط را تهیه نکند و یا حداقل آن را به‌صورت عمومی منتشر نکند. اقدام ابر آروان در تهیه و انتشار این گزارش ستودنی و شایسته تقدیر است.

2. ابر آروان ازجمله شرکت‌های پیشرو در حوزه رایانش ابری در کشور است. زمین خوردن این شرکت ضربه سنگینی به رایانش ابری در ایران و سایر شرکت‌های فعال در این حوزه خواهد زد. وظیفه اجتماعی ما ایجاب می‌کند که حتی اگر از این حادثه متضرر شده‌ایم کمک کنیم تا این شرکت دوباره بتواند با درس گرفتن از این حادثه روی پای خودش بایستد و با رفع ایرادات به مسیرش ادامه دهد.

3. نقطه آغاز نفوذ، لو رفتن یک اکانت VPN با سطح دسترسی پایین یکی از همکاران ابر آروان عنوان شده است. به عبارت دیگر با یک اکانت VPN از هر کامپیوتری می‌توان تا پای شبکه مدیریتی ابر آروان رسید. شبکه مدیریتی که شامل ۷۰۰۰ ابرک بوده است و در هیچ مرحله‌ای حتی تایید دومرحله‌ای و یا محدودسازی به IPهای خاصی وجود نداشته است.

4. در ادامه اشاره شده که سوئیچ‌های سیسکو در دیتاسنترها دارای آسیب‌پذیری CVE-۲۰۱۹-۱۹۶۲ بوده اند.‌این آسیب‌پذیری در سال ۲۰۱۹ با CVSS Score=۸.۶ کشف شده است و بسیار جای تعجب دارد که در مدت دو سال در رفع آن اهمال شده است و صرفا زمانی نسبت به رفع آسیب‌پذیری اقدام شده است که هکرها از آن بهره گرفته و شبکه را مختل کرده‌اند.

5. در ادامه اشاره شده هکرها با بهره‌برداری از آسیب‌پذیری‌های متعدد موجود روی iLO توانسته‌اند از طریق شبکه OOB به iLO دسترسی پیدا کرده و به کنسول تجهیزات ذخیره‌سازی متصل شوند و تنظیمات Raid را تخریب کرده و پارتیشن‌ها را از بین ببرند! از این مورد و مورد ۴ می‌توان نتیجه گرفت که اصولا مبحثی به اسم Patch Management در ابر آروان به‌صورت اصولی وجود نداشته و احتمالا آسیب‌پذیری‌های دیگری روی سایر تجهیزات همچنان وجود دارد.

6. اگر اصول اولیه امنیتی طبق ابتدایی‌ترین استانداردها در ابر آروان اجرا می‌شد شاهد چنین حملات ویران‌گری نبودیم. شرکتی که وظیفه ارائه خدمات زیرساختی به هزاران مشتری را برعهده می‌گیرد نباید نسبت به رفع چنین آسیب‌پذیری‌هایی بی‌تفاوت و سهل‌انگار باشد. چنین شرکت‌هایی باید به‌صورت دوره‌ای و توسط گروه‌های مختلف و مشاوران مجرب، ساختارهای امنیتی خود را مرور کرده و بهبود مستمر بخشند.

7. نکته سئوال‌برانگیز دیگر این است که هکر در دومرحله اقدام به اختلال در سوئیچ کرده است تا توجه تیم آروان را به خود جلب کند و در مرحله سوم اقدام به حذف Raidها و پارتیشن‌ها کرده است! تیم فنی ابر آروان در مرحله اول نفوذ متوجه نفوذ نشده است و استنباط کرده که اشکال سخت‌افزاری است. سئوال مهم این است چرا هکر در همان مرحله اول و درحالی‌که شک کسی برانگیخته نشده است به سراغ کار اصلی و حذف Raidها نرفته است؟ چرا با اجرای DoS باید خودنمایی و جلب توجه کند؟

8. عدم وجود Disaster Recovery Plan برای زمانی که Raid دچار اختلال می‌شود مشهود است. همچنین در گزارش ابر آروان به نسخه‌های آفلاین Backup مثل Tape برای سرویس‌های حیاتی اشاره‌ای نشده است.

9. درس بزرگی که از این رخداد گرفته می‌شود این است که شرکت‌ها و کسب‌و‌کارها هرگز نباید به امنیت و Availability شرکت‌های زیرساخت (چه داخلی و چه خارجی) اعتماد کنند. یک روز اختلال در کسب‌و‌کار شما ممکن است برای شما میلیاردها تومان خسارت به بار بیاورد، اما میزبانان ابری درنهایت طبق SLA به شما خسارت بسیار ناچیز پرداخت می‌کنند.

10. اگر کسب‌و‌کارها به مفهوم معماری Zero Trust توجه می‌کردند کمتر از این حادثه و حمله سایبری آسیب می‌دیدند.

در این میان نسبت‌های ناروایی به ابر آروان داده شد مبنی‌بر تلاش این شرکت در قطع اینترنت بین‌المللی و ... . این ادعاها آن‌قدر بی‌اساس است که با آن نمی‌پردازیم.

جزئیات گزارش نشان می‌دهد که این حمله می‌تواند از نوع APT تعریف شود و احتمال نفوذ توسط کشورهای متخاصم با ایران برای ایجاد روحیه بی‌اعتمادی به سرویس‌دهندگان داخلی دور از ذهن نیست. گزارش فارنزیک ابر آروان ناقص است. با تحلیل جزئیات Logها احتمالا بتوان ردپایی از هکرها و انگیزه آنها را به‌دست آورد.