روابط عمومی نوبیتکس به زومیت می‌گوید: مهاجم با آلوده‌سازی سیستم یکی از افراد کلیدی در سازمان توانسته به اطلاعات دست پیدا کند.
اتفاق صبح چهارشنبه، بیست و هشتم خرداد ماه رخ داد. از دیوارهای شفاف شبکه‌های بلاکچین می‌توان فهمید که ساعت ۷:۵۸ دقیقه صبح دسترسی غیرمجاز آغاز شده است. دو ساعت بعد نوبیتکس خبر داد که یک حادثه امنیتی برای آنها اتفاق افتاده و ساعت یک و ۱۰ دقیقه بعدازظهر اعلام شد که دسترسی به سرورها قطع شده است. این دسترسی چطور اتفاق افتاد؟ در این ۵ ساعت و دوازده دقیقه چه گذشت؟ تیم نوبیتکس به سوال‌های زومیت پاسخ می‌دهند.

حدیث خسروی، مدیر روابط عمومی نوبیتکس، در پاسخ به این سؤال که «هک از چه مسیری اتفاق افتاد؟» توضیح می‌دهد: «ابتدا لازم است تاکید کنم نفوذی که رخ داد، از طریق دسترسی اعضای تیم نوبیتکس یا نیروهای داخلی ما نبود. برخی ادعا کرده‌اند که این حمله از مسیر دسترسی‌های ادمین یا حتی از طریق دامین nobitex.ir و تیم‌های داخلی مثل نیروهای فنی، فرانت‌اند یا تیم‌های پشتیبانی صورت گرفته؛ اما ما با اطمینان کامل و بر اساس بررسی‌های دقیق فنی، این فرضیه را رد می‌کنیم.»

او می‌گوید: «آنچه تاکنون مشخص شده، این است که مهاجم با آلوده‌سازی سیستم یکی از افراد کلیدی در سازمان توانسته به اطلاعات دست پیدا کند، نه از طریق بدنه تیم داخلی.

«مهاجم با آلوده‌سازی سیستم یکی از افراد کلیدی در سازمان توانسته به اطلاعات دست پیدا کند، نه از طریق بدنه تیم داخلی»

اشاره خسروی به گزارش‌هایی است که ادعا می‌کند دسترسی‌های ادمین یا جیرا و دسترسی‌های تیم فرانت و پشتیبانی منجر به این حادثه شده است. او تاکید می‌کند: «باگ‌های اعلام شده در شهریور سال قبل طی برنامه باگ‌بانتی برطرف شده و اساسا این تیم‌ها به زیرساخت و سرور دسترسی ندارند.»

طبق توضیحات روابط عمومی نوبیتکس «هیچ‌کدام از باگ‌هایی که بعضاً به آن اشاره شده، منشأ این نفوذ نبوده‌اند. این باگ‌ها پیش‌تر، در سپتامبر ۲۰۲۴ برطرف شده‌اند و به هیچ‌وجه امکان بهره‌برداری از آن‌ها برای نفوذ فعلی وجود نداشته است؛ این سیستم‌ها روی اینترنت باز نبوده و آی‌پی افراد برای ورود از طریق پیامک وایت لیست می‌شود و ادمین به‌طور خاص ورود دو عاملی نیز داشته است.»

پس نفوذ از کجا اتفاق افتاده است؟ بر اساس یافته‌های فعلی نوبیتکس، مهاجمان از طریق دسترسی سطح پایین مدیریتی به زیرساخت‌ها و همچنین دسترسی غیرمجاز به کلیدهای خصوصی حیاتی مرتبط با پرسنل کلیدی سازمان، به این اطلاعات دسترسی پیدا کرده‌اند.

سطح پیچیدگی و دقت این حمله بسیار فراتر از عملیات معمول هکرها بوده است. که در یک گزارش مجزا به آن خواهیم پرداخت. فعلا آنچه تایید پلیس فتا را دارد و حرف دقیقی است را با شما در میان گذاشتم.
– حدیث خسروی، مدیر روابط عمومی نوبیتکس

به گفته‌ی خسروی، نفوذ از طریق آلوده‌سازی لپ‌تاپ یا دستگاه‌های افراد کلیدی انجام شده. هکرها از این طریق به کلیدهای دسترسی، دست یافته‌اند و با استفاده از آن‌ها وارد زیرساخت شده‌اند. این یعنی تمرکز حمله نه روی شکستن دیوار امنیتی از بیرون، بلکه از طریق آلوده‌سازی بوده است.

اگر به اینترنت دسترسی داشتیم خسارت کمتری وارد می‌شد

هفته پیش مدیرعامل نوبیتکس ویدیویی در توضیح آخرین وضعیت این پلتفرم رمزارزی منتشر کرد. در توضیحات امیرحسین راد آمده بود که سرعت پایین اینترنت و دسترسی دشوار به دیتاسنتر باعث شد امکان واکنش سریع به حمله را نداشته باشند.

به گفته‌ی خسروی نفوذ از طریق آلوده‌سازی لپ‌تاپ یا دستگاه‌های افراد کلیدی انجام شده

این یعنی نوبیتکس می‌گوید اگر اختلال‌های اینترنتی وجود نداشت می‌توانستند خیلی زودتر جلوی خسارت بیشتر را بگیرند. روابط عمومی نوبیتکس این گزاره را تایید می‌کند. به گفته‌ی آنها، اگر محدودیت اینترنت و مانع‌های دسترسی به دیتاسنترها نبود آنها با سرعت خیلی بالاتری در حد چند دقیقه می‌توانستند جلوی حمله و سرقت دارایی را بگیرند؛ حدیث خسروی مرحله به مرحله توضیح می‌دهد که این فرایند در صبح حمله به نوبیتکس چگونه گذشت؟ به گفته‌ی او، ماجرا از چند روز پیش از حمله آغاز شده بود:

سامانه‌های رصد و مانیتورینگ ما طوری طراحی شده‌اند که به محض مشاهده‌ی رفتار مشکوک یا فعالیت غیرعادی مثل افزایش ناگهانی ترافیک، ورود آی‌پی‌های ناشناس یا تلاش برای دسترسی غیرمجاز، هشدار (نوتیف) صادر می‌کنند. در روزهای منتهی به حمله، ما می‌دانستیم باید آماده باشیم و در حالت مراقبت بودیم. اما به دلیل اختلال در اینترنت بین‌الملل، برخی هشدارها اصلاً به دست ما نرسیدند. در واقع، نوتیف‌های مهم بعد از وقوع حمله به ما رسید. همین موضوع باعث شد که تیم فنی بخشی از مانیتورینگ را عملاً از دست بدهد.
– حدیث خسروی، مدیر روابط عمومی نوبیتکس

او تأکید می‌کند که این اختلال، مانع از دریافت هشدارهای حیاتی در لحظه‌ی مناسب شد و همین تأخیر، بازه‌ی زمانی لازم برای واکنش سریع را از بین برد.

هجوم کاربران برای برداشت دارایی‌ها
به جز این یک مشکل دیگر هم وجود داشت. در شرایط نامطمئن جنگی مردم نگران سرمایه‌های خود هستند. به همین دلیل اولین کاری که می‌کنند این است که دارایی خود را از بانک، بورس یا پلتفرم‌های رمزارزی بیرون می‌آورند. حدیث خسروی می‌گوید: «بورس تعطیل بود، بانک‌ها هم با اختلال مواجه بودند، بنابراین کاربران به سراغ ما آمدند. ترافیک کاربران برای برداشت باعث شد ترافیک سیستم بالا برود. این موضوع ارتباط مستقیمی با حمله نداشت، اما تمرکز تیم ما را به‌شدت کاهش داد.»

«اگر به اینترنت بین‌الملل دسترسی داشتیم شاید می‌توانستیم در ۱۰ دقیقه جلوی رخنه را بگیریم تا خسارت از نیمی از این مبلغ بیشتر نرود»

نکته‌ی او این است که در دقایق حیاتی زمان حمله، باید هات‌ولت‌ها را تخلیه می‌کردند اما این کار نیازمند اینترنت بین‌الملل است و اختلال‌های اینترنتی اصلاً به آنها اجازه نمی‌داد که یک‌سری از هات ولت‌ها را تخلیه کنند. «مثلا اگر ۴ نفر در حال این کار بودند و اینترنت دو نفر خوب بود و دو نفر دیگر درگیر اتصال به اینترنت بین‌الملل؛ در شرایطی که هر دقیقه چندین میلیون دلار آب می‌خورد.» این سرعت پایین تخلیه، خسارت به آنها را بیشتر و بیشتر کرد.

اگر نوتیفیکیشن‌ها به‌موقع دریافت می‌شدند، می‌شد جلوی بخشی از حمله را گرفت. اما بخش مهم‌تری هم وجود داشت: تنها با دسترسی به اینترنت بین‌الملل می‌توانستند مانع از افزایش مبلغ سرقت شوند.

خسروی می‌گوید: «مثلا شاید ما می‌توانستیم در ۱۰ دقیقه جلوی رخنه را بگیریم و خسارت از نیمی از این مبلغ بیشتر نرود.»

مانع بزرگ دوم: دسترسی به دیتاسنترها
نوبیتکس می‌گوید مانع دیگر آنها دشواری برای رسیدن به دیتاسنترها بوده است. دقیقا چه موانعی در این راه وجود داشته است؟ چرا تیم فنی نتوانست در لحظات بحرانی به سرورها دسترسی پیدا کند؟ روابط عمومی نوبیتکس در پاسخ به این پرسش، فهرستی از مشکلات عملیاتی و زیرساختی را مطرح می‌کند.

حدیث خسروی توضیح می‌دهد: «در لحظات اولیه حمله، تیم ما نیاز داشت مستقیماً به دیتاسنتر برسد، اما به دلیل وضعیت امنیتی کشور و اختلالات گسترده، مشکلات زیادی بود مثلا نیروهای ما را به داخل راه نمی‌دادند. یا در جایی دیگر رویه امنیتی سخت‌گیرانه‌ای وجود داشت که بر حسب شرایط ایجاد شده بود اما برای ما در آن لحظه مانع بزرگی بود. زمان زیادی صرف شد تا مجوز ورود بگیریم. نیروهای ما دورکار بودند با این حال از بین کارمندان‌مان که تهران حضور داشتند نماینده‌هایی را فرستادیم. حتی وقتی گروه پشتیبانی ما به محل رسیدند، اجازه ورود فوری به آنها داده نشد. از طرف دیگر بسیاری از اعضای تیم فنی ما به‌دلیل محدودیت اینترنت، فقط به شبکه داخلی اینترنت دسترسی داشتند و نمی‌توانستند از راه دور وارد سیستم‌ها شوند.»

وقتی گروه پشتیبانی ما به محل دیتاسنتر رسیدند، اجازه ورود فوری به آنها داده نشد

او ادامه می‌دهد که هرگونه اقدام برای توقف حمله نیازمند دسترسی فیزیکی به زیرساخت بود: «در آن شرایط، اگر می‌توانستیم به سرورها دسترسی پیدا کنیم و شبکه و بعد برق را از برخی سرورها بکشیم، باز هم موثر بود. اما این کار نیاز به هماهنگی‌های بیشتری داشت. حالا در پس‌زمینه‌ی اتفاقات شرایط کشور را هم لحاظ کنید؛ از جنگ و ترس تا محدودیت‌ها و حمله به مراکزی مانند پلیس فتا.»

بعد از مهار هکر، آی‌پی‌هایمان را بستند
اما ماجرا به این‌جا ختم نمی‌شود. اختلال در دسترسی به سرورها، حتی بعد از مهار حمله هم مانع بازیابی سریع سیستم شد و این محدودیت‌ها برای دسترسی به دیتاسنتر اینجا خودش را نشان داد که تیم نوبیتکس وب‌سایت خود را چندین ساعت بعد از زمانی که قول داده بود بالا آورد. خسروی می‌گوید: «تیم ما نیاز داشت مستقر شود و سرورهای جدید اضافه کنیم که سیستم بالا بیاید. ما قول داده بودیم که روز چهارشنبه وب‌سایت را بالا بیاوریم، اما پنج تا شش ساعت تاخیر داشتیم. دلیلش خیلی ساده بود: آی‌پی‌های ما بسته شده بود و نمی‌توانستیم از دیتاسنتر برای بالا آوردن سرور جدید استفاده کنیم. مجبور شدیم با نامه‌نگاری، پیگیری‌های متعدد و خواهش از چند نهاد، مجوز اتصال بگیریم. حتی وقتی اجازه داده شد، باز هم زمان لازم بود تا تیم ما آنجا مستقر بماند.»

در روزهای بعد از حمله، ما نیاز فوری به تهیه برخی سخت‌افزارها داشتیم، اما عملاً همه‌چیز تعطیل بود. از خرید یک سه‌راهی ساده گرفته تا کار کردن درِ دفترمان با مشکل مواجه بودیم. دفتر ما در نزدیکی مهرآباد و در محدوده ناحیه فناوری شریف قرار دارد. حتی رفتن به همان ساختمان در آن شرایط بحرانی، خودش یک چالش جدی بود. در روزهایی که تهران زیر بمباران بود، مستقر کردن تیم خود یک مسئله جدی بود.
– حدیث خسروی، مدیر روابط عمومی نوبیتکس

بخشی از اختلالات بعد از حمله هم باز به دسترسی به اینترنت بین‌الملل برمی‌گشت. بعد از وقوع حادثه، اینترنت همچنان در وضعیت ملی باقی مانده بود و این مسئله برای بازگرداندن نوبیتکس مشکلات زیادی ایجاد کرد. او ادامه می‌دهد: «با این حال، چون فضا به‌سمت یک آتش‌بس پیش رفت، البته قبل از آتش‌بس توانستیم به‌صورت فیزیکی به شرکت بازگردیم و بخشی از مساله اینترنت را حل کنیم.»

دسترسی‌ به کیف‌ پول‌ها مرحله به مرحله باز می‌شود
خسروی توضیح می‌دهد: «مطابق اطلاعیه رسمی ما، دسترسی به کیف پول‌ها فراهم شده، اما این فرآیند به‌صورت مرحله‌ای در حال اجراست. یعنی ما هر بار گروهی از کاربران را که تعدادشان به چند میلیون می‌رسد، با رعایت پروتکل‌های امنیتی فعال می‌کنیم، دسترسی را باز می‌کنیم، مجدد بررسی‌های امنیتی انجام می‌دهیم و به سراغ گروه بعدی می‌رویم.»

به گفته‌ی مدیر روابط عمومی نوبیتکس، با توجه به مقیاس این پلتفرم رمزارزی و تعداد بالای کاربرانش این فرایند زمان‌بر شده و احتمالاً در روزهای آتی نیز ادامه پیدا خواهد کرد. خسروی توضیح می‌دهد: «مطابق آخرین اطلاعیه‌ها بر اساس زمان‌بندی عمل ‌می‌کنیم و در تلاشیم با کمترین تاخیر نسبت به زمان اعلام شده قابلیت برداشت و واریز فعال شود و این وعده سر جای خودش است اما نحوه اجرا مرحله‌ای خواهد بود.»

او تأکید می‌کند: «ما در مسیر عمل به تعهدمان برای آغاز مجدد خدمات هستیم، اما این به‌صورت فازبندی‌شده اجرا خواهد شد و همه تلاش‌مان را می‌کنیم با کمترین تاخیر نسبت به زمان‌بندی عمل کنیم. برای مثال، موجودی برخی کاربران هنوز قابل مشاهده نیست و این هم به‌صورت تدریجی در اواسط هفته فعال می‌شود. مثلاً فرض کنید مانند لانچ یک محصول به صورت درصدی برای گروه‌های کاربران فعال می‌شود و بعد گروه‌های بعدی اضافه می‌شوند. قابلیت برداشت و واریز هم دقیقاً با همین منطق فاز‌بندی فعال خواهد شد. ما کم کم در حال باز کردن دسترسی‌ها هستیم تا هم از فشار ناگهانی روی سیستم جلوگیری شود و هم امنیت کاربران به شکل کامل حفظ شود.»