نقدی بر گزارش ابر آروان از حمله سایبری به زیرساخت رایانش ابری Cloud Computing این شرکت در دیتاسنتر آسیاتک و بررسی نکات مهم این حادثه و از دست رفتن بخشی از داده ها و اطلاعات

نقدی بر حمله سایبری به زیرساخت رایانش ابری شرکت ابر آروان در دیتاسنتر آسیاتک

امروز ابر آروان گزارش مبسوطی از حمله سایبری به زیرساخت رایانش ابری این شرکت در دیتاسنتر آسیاتک منتشر کرد. حمله ای که باعث بروز اختلال گسترده و از دست دادن بخشی از داده ها و ایجاد نارضایتی شدید مشتریان این شرکت شد. بحرانی که در واپسین روزهای سال نامیمون 99 رخ داد و همچنان ادامه دارد.

نکات مهم درباره حمله به زیرساخت رایانش ابری شرکت ابر آروان

اینک که ابعاد ماجرای حمله به زیرساخت رایانش ابری شرکت ابر آروان شفاف تر شده است نکات مهم زیر درباره این حادثه قابل توجه است و نحوه برخورد پس از چنین هجوم های سایبری را نشان می دهد:

1. ابر آروان می توانست این گزارش مبسوط را تهیه نکند و یا حداقل آنرا بصورت عمومی منتشر نکند. اقدام ابر آروان در تهیه و انتشار این گزارش ستودنی و شایسته تقدیر است.

2. ابر آروان از جمله شرکت های پیشرو در حوزه رایانش ابری در کشور است. زمین خوردن این شرکت ضربه سنگینی به رایانش ابری در ایران و سایر شرکتهای فعال در این حوزه خواهد زد. وظیفه اجتماعی ما ایجاب می کند که حتی اگر از این حادثه متضرر شده ایم کمک کنیم تا این شرکت دوباره بتواند با درس گرفتن از این حادثه روی پای خودش بایستد و با رفع ایرادات به مسیرش ادامه دهد.

3. نقطه آغاز نفوذ، لو رفتن یک اکانت VPN با سطح دسترسی پایین یکی از همکاران ابر آروان عنوان شده است. به عبارت دیگر با یک اکانت VPN از هر کامپیوتری می توان تا پای شبکه مدیریتی ابر آروان رسید. شبکه مدیریتی که شامل 7000 ابرک بوده است و در هیچ مرحله ای حتی تایید دومرحله ای و یا محدود سازی به IPهای خاصی وجود نداشته است.

4. در ادامه اشاره شده که سوئیچهای سیسکو در دیتاسنترها دارای آسیب پذیری CVE-2019-1962 بوده اند. این آسیب پذیری در سال 2019 با CVSS Score=8.6 کشف شده است و بسیار جای تعجب دارد که در مدت 2 سال در رفع آن اهمال شده است و صرفا زمانی نسبت به رفع آسیب پذیری اقدام شده است که هکرها از آن بهره گرفته و شبکه را مختل کرده اند.

5. در ادامه اشاره شده هکرها با بهره برداری از آسیب پذیری های متعدد موجود روی iLO توانسته اند از طریق شبکه OOB به iLO دسترسی پیدا کرده و به کنسول تجهیزات ذخیره سازی متصل شوند و تنظیمات Raid را تخریب کرده و پارتیشن ها را از بین ببرند! از این مورد و مورد 4 می توان نتیجه گرفت که اصولا مبحثی به اسم Patch Management در ابر آروان بصورت اصولی وجود نداشته و احتمالا آسیب پذیریهای دیگری روی سایر تجهیزات همچنان وجود دارد.

6. اگر اصول اولیه امنیتی طبق ابتدایی ترین استانداردها در ابر آروان اجرا میشد شاهد چنین حملات ویرانگری نبودیم. شرکتی که وظیفه ارائه خدمات زیرساختی به هزاران مشتری را برعهده میگیرد نباید نسبت به رفع چنین آسیب پذیریهایی بی تفاوت و سهل انگار باشد. چنین شرکتهایی باید بصورت دوره ای و توسط گروه های مختلف و مشاورین مجرب، ساختارهای امنیتی خود را مرور کرده و بهبود مستمر بخشند.

7. نکته سئوال برانگیز دیگر این است که هکر در دومرحله اقدام به اختلال در سوئیچ کرده است تا توجه تیم آروان را به خود جلب کند و در مرحله سوم اقدام به حذف Raid ها و پارتیشن ها کرده است! تیم فنی ابر آروان در مرحله اول نفوذ متوجه نفوذ نشده است و استنباط کرده که اشکال سخت افزاری است. سئوال مهم این است چرا هکر در همان مرحله اول و درحالیکه شک کسی برانگیخته نشده است به سراغ کار اصلی و حذف Raidها نرفته است؟ چرا با اجرای DoS باید خودنمایی و جلب توجه کند؟

8. عدم وجود Disaster Recovery Plan برای زمانی که Raid دچار اختلال می شود مشهود است. همچنین در گزارش ابر آروان به نسخه های آفلاین Backup مثل Tape برای سرویسهای حیاتی اشاره ای نشده است.

9. درس بزرگی که از این رخداد گرفته می شود این است که شرکتها و کسب و کارها هرگز نباید به امنیت و Availability شرکت های زیرساخت (چه داخلی و چه خارجی) اعتماد کنند. یک روز اختلال در کسب و کار شما ممکن است برای شما میلیاردها تومان خسارت به بار بیاورد اما میزبانان ابری نهایتا طبق SLA به شما خسارت بسیار ناچیز پرداخت می کنند.

10. اگر کسب و کارها به مفهوم معماری Zero Trust توجه می کردند کمتر از این حادثه و حمله سایبری آسیب می دیدند.

11. در این میان نسبتهای ناروایی به ابر آروان مبنی بر تلاش این شرکت در قطع اینترنت بین المللی و ... داده شد. این ادعاها آنقدر بی اساس است که با آن نمی پردازیم.

12. جزئیات گزارش نشان می دهد که این حمله می تواند از نوع APT تعریف شود و احتمال نفوذ توسط کشورهای متخاصم با ایران برای ایجاد روحیه بی اعتمادی به سرویس دهندگان داخلی دور از ذهن نیست. گزارش فارنزیک ابر آروان ناقص است. با تحلیل جزئیات Logها احتمالا بتوان رد پایی از هکرها و انگیزه آنها را بدست آورد.