بانکها زیر آتش هکرها / فیلترینگ چگونه شبکه بانکی را آسیبپذیر کرد؟
آنچه شبکه بانکی ایران را در حمله سایبری خرداد و تیر ۱۴۰۵ آسیبپذیر کرد، تنها توان مهاجمان نبود. بررسیهای فنی نشان میدهد بخشی از این آسیبپذیری به سیاستهایی بازمیگردد که قرار بود امنیت شبکه را افزایش دهند، اما در عمل مسیر نفوذ را هموارتر کردند.
نگار علی– شبکه بانکی و پرداخت کشور در اواخر خرداد و ابتدای تیر ۱۴۰۵ با یکی از مخربترین و گستردهترین اختلالات سیستمی در تاریخ خود مواجه شد. این اختلالات که ناشی از یک حمله سایبری هماهنگ و چندمرحلهای به زیرساختهای حیاتی کشور بود، علاوه بر فلج کردن موقت تراکنشهای خرد و کلان میلیونها شهروند، زنگ خطر جدی را در خصوص میزان تابآوری ساختاری کشور به صدا درآورد.
این بحران بانکی در قالب دو موج عملیاتی اصلی و پیاپی رخ داد که هسته خدماتی و پلتفرمهای پرداخت کارتمحور کشور را هدف گرفت.
در روز شنبه ۲۳ خرداد ۱۴۰۵، گزارشهای متعددی از سوی شهروندان مبنی بر قطع ناگهانی و کامل دسترسی به خدمات بانکی صادر شد. این اختلال گسترده، پلتفرمهای همراه بانک، اینترنت بانک، خودپردازها (ATM) و پایانههای فروشگاهی (کارتخوانها) را در چهار بانک بزرگ شامل بانک ملی، بانک صادرات، بانک تجارت و بانک توسعه صادرات به طور کامل از مدار خارج کرد.
در پاسخ به این وضعیت اضطراری، شرکت خدمات انفورماتیک به عنوان هاب فنی و ارائهدهنده زیرساخت مشترک پرداخت به این بانکها، تصمیم گرفت به منظور مهار دامنه نفوذ، جلوگیری از دسترسیهای غیرمجاز و صیانت از اطلاعات حساس مالی مشتریان، ارائه خدمات پایه مبتنی بر کارت را در سراسر کشور به صورت موقت معلق کند. اگرچه در روزهای بعد بخشی از خدمات کارتی به صورت ناپایدار احیا شد، اما ریشههای نفوذ همچنان فعال باقی ماند.
در حالی که تیمهای تخصصی پدافند سایبری در حال تلاش برای بازگرداندن پایداری به شبکه بودند، موج دوم و شدیدتری از حملات در تاریخ ۲ تیر ۱۴۰۵ سیستمهای هسته بانکی را نشانه رفت. این حمله بار دیگر خدمات کارتمحور و تراکنشهای آنلاین بانکهای ملی و صادرات را به طور کامل متوقف کرد. فرماندهی سایبری کشور با صدور بیانیهای رسمی، وقوع حمله سایبری هدفمند با هدف «اختلال سازمانیافته در خدمات عمومی» را تایید کرد و هشدار داد که رفع کامل آثار تخریبی این حملات و بازگردانی پایدار سامانهها ممکن است تا دو هفته به طول انجامد.
زمانبندی این حملات پیوند عمیقی با تحولات دیپلماتیک در سطح کلان داشت. حملات سایبری دقیقاً در گرماگرم مذاکرات دیپلماتیک میان تهران و واشینگتن در سوئیس رخ داد. روزنامه تلگراف در گزارشی مستند فاش کرد که کارشناسان سایبری، گروه هکری خوشنام «گنجشک درنده» (Predatory Sparrow) را که به عنوان جبهه عملیاتی واحد ۸۲۰۰ ارتش اسرائیل و موساد شناخته میشود، عامل اصلی این حمله معرفی کردهاند. این عملیات سایبری مشترک با هدف مسدودسازی مسیرهای نقلوانتقال پول، به تعویق انداختن توان مالی ایران و ضربه مستقیم به تفاهمنامه صلح سوئیس طراحی و اجرا شد.
بانک مرکزی: با وجود تلاشها، آثار اختلال بانکی همچنان ادامه دارد
امروز بانک مرکزی در اطلاعیهای اعلام کرد از نخستین ساعات بروز اختلال، بررسی پیامدهای آن بر امور جاری مردم و فعالان اقتصادی را آغاز کرده و موضوعاتی مانند سررسید و وصول چکها، تأخیر در بازپرداخت اقساط، جریمه دیرکرد تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی را با رویکرد حمایتی در دست بررسی قرار داده است.
این نهاد تأکید کرد هیأت عامل بانک مرکزی تمهیدات لازم را برای کاهش آثار این اختلالات بر مردم و فعالان اقتصادی اتخاذ خواهد کرد تا هیچیک از مشتریان شبکه بانکی به دلیل شرایط خارج از اراده خود متضرر نشوند. با این حال، انتشار این اطلاعیه نشان میدهد که علیرغم تلاشهای همزمان برای مهار بحران و بازگردانی سامانهها، اختلالات و پیامدهای ناشی از حمله سایبری همچنان ادامه داشته و آثار آن بر خدمات بانکی و فعالیتهای اقتصادی بهطور کامل برطرف نشده بود.
گفتنی است که از ساعاتی پیش، بخشی از خدمات دو بانک ملی و صادرات بار دیگر با اختلال روبهرو شده است.
با وجود تلاشها، آثار اختلال بانکی همچنان ادامه دارد
با وجود آغاز همزمان اقدامات فنی برای بازگرداندن خدمات، آثار این حملات برای روزها در شبکه بانکی ادامه یافت. بانک مرکزی در اطلاعیهای اعلام کرد از نخستین ساعات بروز اختلال، بررسی پیامدهای آن بر امور جاری مردم و فعالان اقتصادی را آغاز کرده و موضوعاتی مانند سررسید و وصول چکها، تأخیر در بازپرداخت اقساط، جریمه دیرکرد تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی را با رویکرد حمایتی در دست بررسی قرار داده است.
این نهاد تأکید کرد هیأت عامل بانک مرکزی تمهیدات لازم را برای کاهش آثار این اختلالات بر مردم و فعالان اقتصادی اتخاذ خواهد کرد تا هیچیک از مشتریان شبکه بانکی به دلیل شرایط خارج از اراده خود متضرر نشوند. با این حال، انتشار این اطلاعیه نشان میدهد که علیرغم تلاشهای همزمان برای مهار بحران و بازگردانی سامانهها، اختلالات و پیامدهای ناشی از حمله سایبری همچنان ادامه داشته و آثار آن بر خدمات بانکی و فعالیتهای اقتصادی بهطور کامل برطرف نشده بود.
فیلترینگ، دروازه نفوذ هکرها به زیرساختهای کشور
بر خلاف تصورات سنتی پدافند غیرعامل که فیلترینگ و انزوای شبکه را سدی دفاعی در برابر حملات سایبری قلمداد میکنند، شواهد فنی و مستندات امنیتی سال ۱۴۰۵ نشان میدهند که فیلترینگ خود به یکی از بزرگترین پیشرانهای تخریب زیرساخت و تسهیل حملات سایبری تبدیل شده است.
فیلترینگ باعث شده بخش قابل توجهی از کاربران و حتی کارشناسان فنی برای دسترسی به سرویسهای ضروری، به استفاده دائمی از فیلترشکنها و پروکسیهای ناشناس وابسته شوند؛ ابزارهایی که بسیاری از آنها از منابع نامعتبر توزیع شده و دسترسی گستردهای به ترافیک اینترنت کاربران دارند. این وابستگی، سطح حمله (Attack Surface) را بهطور قابل توجهی افزایش داده و امکان سرقت اطلاعات، رهگیری ارتباطات، تزریق بدافزار و اجرای حملات را برای مهاجمان فراهم میکند.
از سوی دیگر، ترافیک رمزگذاریشده و عبور دادهها از زنجیرهای از سرورهای واسط، فرآیند پایش، تشخیص و واکنش سریع تیمهای امنیتی را نیز دشوارتر میکند. در چنین شرایطی، فیلترینگ نهتنها مانعی در برابر مهاجمان ایجاد نمیکند، بلکه با گسترش استفاده از ابزارهای غیرقابل اعتماد، به عاملی برای افزایش ریسک نفوذ و کاهش دید عملیاتی مدافعان سایبری تبدیل میشود.
حذف IPv6؛ پاشنه آشیل امنیت شبکه بانکی شد
تجهیزات بازرسی عمیق بستهها (DPI) که توسط شرکت ارتباطات زیرساخت درگاههای اینترنت کشور را پایش میکنند، توانایی پردازش همزمان و بازرسی ترافیک مبتنی بر پروتکل نسل ششم (IPv6) را به دلیل ساختار رمزنگاری و آدرسدهی پیچیده آن ندارند. در نتیجه، متولیان فیلترینگ با حذف سازمانیافته این پروتکل، فضای آدرسدهی کشور را به محدوده منسوخ IPv4 زنجیر کردند.
این اقدام به اشباع جداول شبکه و بروز پدیده پردازش فرساینده در تجهیزات لبه شبکه منجر شده است. پردازندههای روترها تحت بار ترافیکی سنگین ناشی از فیلترشکنها داغ شده و تاخیری نمایی را به کل بستههای داده تحمیل میکنند. در این بستر ناپایدار، پایگاههای داده بانکها هنگام تبادل تراکنشها با سامانههای مرکزی نظیر شتاب و شاپرک، مدام با خطای (Timeout) مواجه میشوند. مهاجمان سایبری با آگاهی کامل از این خستگی سختافزاری، حملات خود را در ساعات اوج پردازش وارد کرده و به راحتی لایه دسترسی بانکها را منهدم میکنند.
فیلترینگ ریسک آلودگی زنجیره تأمین نرمافزار را افزایش داد
به دلیل محدودیتهای دوطرفه فیلترینگ داخلی و تحریمهای خارجی، مهندسان نرمافزار در بانکها , شرکتهای تابعه خدمات انفورماتیک، دسترسی مستقیمی به مراجع اصلی پکیجهای برنامهنویسی ندارند. برنامهنویسان برای دور زدن این بنبست، ناگزیر به استفاده از نمونههای داخلی غیررسمی یا اتصال از طریق پروکسیهای واسطه ناشناس هستند.
مهاجمان با استفاده از تکنیکهای پیچیده، کتابخانههای نرمافزاری مخرب با نامهایی بسیار مشابه به پکیجهای اصلی را در این نمونههای ناامن تزریق میکنند. از آنجا که پکیجهای دانلودشده فاقد امضاهای دیجیتال معتبر و مراجع راستیآزمایی جهانی هستند، کدهای مخرب حاوی (Backdoors) مستقیماً به کدهای منبع پلتفرمهای بانکی و همراه بانکها راه مییابند. این نفوذها بدون جلب توجه سیستمهای دفاعی، ماهها در لایههای عمیق سیستم فعال میمانند تا در زمان مقرر، به عنوان مسیر ورود مهاجمان برای تخریب هسته پردازش بانکی مورد استفاده قرار گیرند.
فرار نخبگان، بانکها را در برابر هکرها آسیبپذیرتر کرد
یکی از نگرانکنندهترین پیامدهای فضای انسداد دیجیتال، مهاجرت گسترده نیروهای خبره امنیت سایبری از کشور است. به اعتقاد کارشناسان برجسته و اعتراف صریح مدیران ارشد شرکت ارتباطات زیرساخت، فیلترینگ بیضابطه و شرایط نامساعد اقتصادی، انگیزه کار و بقای متخصصان را نابود کرده و کشور را از سرمایه انسانی تهی ساخته است.
در غیاب نیروهای خبرهای که قادر به تحلیل رفتارهای پیچیده مهاجمان و مدیریت بحران در زمان حملات روز صفر باشند، سامانههای دفاعی بانکها به صورت دستی و با خطاهای فاحش اداره میشوند که ثمره آن تداوم دوهفتهای آثار تخریبی یک حمله سایبری است.
بحران سایبری خرداد و تیر ۱۴۰۵ خط بطلانی بر فرضیه پایداری سیستمها در بستر انزوای شبکه کشید. سیاستهای فیلترینگ نهتنها مانعی در برابر نفوذ هکرها ایجاد نکرد، بلکه با فرسوده کردن سختافزارها، آلوده کردن کلاینتهای داخلی و مسموم کردن زنجیره تامین نرمافزار، مقاومت شبکه بانکی را از درون متلاشی کرد.
باید برای ارتقای پایداری ملی و جلوگیری از فجایع آینده، بازنگری در سیاستهای فیلترینگ و بازسازی زیرساخت ارتباطی صورت گیرد و مداخلات پردازشی سنگین در لبه شبکه متوقف شود و استاندارد آدرسدهی IPv6 برای کاهش تراکم جداول مسیریابی و ایجاد پایداری در تراکنشها باید احیا شود.
تداوم اصرار بر دکترینهای منسوخ فیلترینگ و انزوا، شبکه مالی کشور را در جنگهای سایبری آینده بیش از پیش بیدفاع کرده و بستر مناسبی را برای فروپاشیهای سیستمی مخربتر فراهم خواهد ساخت.
۲۲۷۲۲۷
