گزارش حادثه (‌ Incident Report )

شروع حادثه

در روز یکشنبه ۱۷ مرداد ماه سال جاری، سرویسهای مانیتورینگ خبر از وقوع یکIncident (رخداد) در زیرساختهای میزبانی ابری ایران و کانادا و همینطور وبسایت ایران هاست داد. با توجه به این مسئله که چند زیر ساخت متفاوت و چند دیتا سنتر داخل ایران و همینطور خارج ایران مورد حمله قرار گرفتند، پیش بینی تیم فنی ایران هاست از دقایق اولیه، حمله سایبری بود که به همین دلیل اقدامات امنیتی مرتبط با این نوع حملات در دستور کار قرار گرفت. در اقدامی پیشگیرانه جهت جلوگیری از آسیب بیشتر به اطلاعات کاربران، ارتباطات دیتا سنترها با شبکه اینترنت محدود شد. تیم NOC همزمان با هماهنگی تیم امنیت به محل دیتا سنتر اعزام و در همین حین گزارشی از شدت و تعداد حملات تنظیم شد. کلیه اقدامات مربوط به پروتکل های Incident Response به طور همزمان و توسط تیم های مدیریت سرور، NOC و SOC نیز اجرا شد. پس از بررسی ابعاد و وسعت حمله توسط تیم های متخصص داخل ایران و همینطور خارج از کشور ایران هاست، مشخص شد بخش بزرگی از داده ها به همراه کلیه بک آپ های انها رمز گزاری شده و از دسترس خارج شده است.

اقدامات انجام شده

طی بررسی های اولیه حمله از نوع Data Encryption با هدف دریافت Ransom (باج) تشخیص داده شد. تیم ناک در لحظه اقدام به جداسازی و ایمن سازی نسخه های بک آپ و زیرساخت سالم از زیر ساخت آسیب دیده کرد و تیم پلیس فضای تبادل اطلاعات (‌فتا) از ابتدای وقوع حمله در جریان امر گرفت. همینطور بررسی های لازم با تیم سازمان «ماهر» هم صورت گرفت و به صورت همزمان تیم مدیریت بحران شامل تیم روابط عمومی، فنی، منابع انسانی و مدیریتی تشکیل شد.

اقدامات قانونی در رابطه با مشکل ایجاد شده به طور کامل انجام شد. در همین حین تیم فنی اقدام به شروع فرایند بازیابی اطلاعات کرد و همینطور به صورت همزمان اقدامات لازم برای راه اندازی زیرساخت جدید و انتقال بک آپهای سالم و اسیب ندیده به این زیرساخت ها شروع شد. اقدامات Forensic بر روی زیرساخت تحت حمله (از جمله شناسایی نقاط نفوذ و همینطور جمع آوری Evidence) و Hardening بر روی زیرساخت جدید شروع و در همان موقع اجرا شد.

تیم مدیریت بحران تشکیل جلسه داد با توجه به گزارش تیم فنی به اولویت بندی روند پرداخت و در اولین اقدام افزایش تعداد نیروی امور مشتریان و پشتیبانی جهت پاسخگویی سریعتر به کاربرانی که سرویسهایشان تحت تاثیر حملات قرار گرفته انجام شد و همچنین در همین حین تیم های مربوطه اقدامات لازم و فوری را جهت رمزگشایی دیتا را به سرعت و با تمام توان شروع کردند. به همین منظور متن اولیه اطلاعیه تدوین در ساعت ۲۰ منتشر شد و در کانالهای اینستاگرام، توییتر و تلگرام قرار گرفت.

تیم پاسخگویی به رویداد پلیس فتا در محل شرکت حاضر شد و به بررسی ابعاد و تبعات حمله پرداخته شد. به صورت هم زمان تیم تخصصی مرکز ماهر نیز نسبت به عملیات دفاعی اقدام به ارائه مشاوره کرد. همچنین دو تیم آبی (Defensive) نسبت به ایمن سازی زیرساخت قدیم و جدید اقدام نمودند. تیم مدیریت بحران با توجه به گزارش تیم فنی به اولویت بندی روند پرداخت و در اولین اقدام افزایش تعداد نیروی امور مشتریان و پشتیبانی جهت پاسخگویی سریعتر به کاربرانی که سرویسهایشان تحت تاثیر حملات قرار گرفته انجام شد. بعد از این کار سرویس جایگزین موقت طراحی و راه اندازی شد و بلافاصله بعد از آن اطلاعیه دوم در کانالهای مربوطه منتشر شد. در همین حین تیم فنی در فاز اول دیتای ریکاوری شده رو حدود ۲۵ ترابایت پیشبینی کرد که روند ریستور آن به سرعت و طی ۵ روز انجام شد و تعداد زیادی از سرویس ها در دسترس قرار گرفت.
پس از این کار اطلاعیه شماره ۳ در کانالهای مرتبط منتشر شد و سرویس در اختیار همه کاربران قرار گرفت.

در همین حین تیم های مربوطه اقدامات لازم و فوری را جهت رمزگشایی دیتا را به سرعت و با تمام توان شروع کردند. با بررسی های دقیق تیم ایران هاست متوجه شد که حمله حادث شده از چه مسیری و به چه صورت انجام شده است. هکر یا هکرها به صورت لایه به لایه دسترسی ایجاد کرده اند و در مرحله آخر در تاریخ هفدهم مرداد اقدام به قفل (Encrypt) کردن بک آپها درخواست باج نمودند. بعد از این اتفاق تیم ایران هاست در جهت تقویت زیرساخت خود چندین لایه نرم افزاری و سخت افزاری جدید و مطمئن اضافه کرد و تیم های مربوطه به سرعت اقدام به اجرای پروتکلهای مربوطه کردند. در مرحله بعدی زیر ساخت و تکنولوژی مورد استفاده به طور کامل تعویض شد. با توجه به سیستم رمزنگاری زمان سپری شده برای باز کردن این قفل ها حدود ۴۸ روز بود که پس از استفاده از آخرین تکنولوژی موجود امکان دسترسی کامل به بک آپ ها فراهم شد.
در تاریخ چهارم مهر ماه، ۹۹٪ سرویسهای ارائه شده به مشتریان بدون هیچگونه مشکلی و با آخرین دیتا در اختیارشان قرار گرفت.

پاسخگویی به مشتریان

با توجه به اینکه ایران هاست خود را متعهد به کاربرانش میداند، از ابتدا پاسخگویی را بر اساس واقعیات و صداقت شروع کرد. بر همین اساس کلیه همکاران بخش های مربوطه موظف شدند تنها اطلاعات دقیق و درست را در اختیار کاربران قرار دهند و هیچ گونه حدس و یا گمانی را در رابطه با بازگشت دیتا بیان نکنند. در همین حین ایران هاست تعداد همکاران در تیم پاسخگویی را بیش از ۵۰٪ افزایش داد. تعداد خط تلفنهای مرتبط با این امر ۷۰ عدد بوده که با توجه به مشکل ایجاد شده، ازدحام بسیار زیادی روی این خطوط ایجاد شد که متاسفانه به دلیل کمبود زیرساختهای مورد نیاز در کشور، تعداد زیادی از کاربران با زمانهای طولانی برای پاسخگویی و یا قطع تماس مواجه شدند. ایران هاست از بابت این انتظار بسیار متاسف است. طی این مدت تیم پاسخگویی تعداد ۹۴۸۶۳ عدد تیکت، ۱۶۵۴۰ عدد چت و ۱۱۷۵۳۱ تلفن را پاسخگو بوده و در حال حاضر تعداد ارجاع را به کمتر از ۳ درصد رسانده است. با وجود افزایش ظرفیت تیم پاسخگویی، فشار بسیار زیادی به تیم های مرتبط وارد شد، با این حال تمامی تیم های ایران هاست لحظه ای دست از تلاش برای حل مشکل ایجاد شده برنداشتند تا بتواند مشکلات را برطرف کنند. در همین حین نیز به تعداد زیادی از مراجعان حضوری نیز پاسخ داده شد.

ایران هاست و کاربرانش نزدیک به ۶۰ روز بسیار سخت را پشت سر گذاشتند. از ابتدای رخداد، تمامی پرسنل ایران هاست به صورت بیست و چهار ساعته و در هفت روز هفته تمامی تلاش خود را برای رفع مشکل ایجاد شده انجام دادند. ایران هاست بابت داشتن چنین همکاران متخصص و متعهدی به خود میبالد و همینطور بابت تلاش تمامی همکارانش در این زمینه سپاسگزار است.
ناگفته نماند ایران هاست از ابتدای شروع حمله با پیشنهاد سخاوتمندانه دوستانش که در شرکتهای همکار مشغول فعالیت بود نیز برخوردار شد. تیم متخصص’هاست ایران‘ از ساعات اولیه حمله در کنار ما بودند و لطف بی دریغ و کمک های شایان توجهشان شایسته تقدیر است که بی دریغ تمامی توان خود برای حل مشکل را ارائه کردند.
ایران هاست همچنین از شرکتهای ابرآروان ایران سرور، برتینا، آذران وب، پویا سازان، مارال هاست، سون هاست، ای هاست ، پارس دیتا و سرور پارس بابت پیشنهادات سخاوتمندانه و کمک های بی دریغشان سپاسگزار است. پیام های شما همکاران قوت قلب بسیار بزرگی برای ما بود تا بتوانیم هر چه سریعتر بر مشکل ایجاد شده غلبه کنیم.