آسیب‌پذیری سایبری بانک‌ها با فیلترینگ

آنچه شبکه بانکی ایران را در حمله سایبری خرداد و تیر ۱۴۰۵ آسیب‌پذیر کرد، تنها توان مهاجمان نبود. بررسی‌های فنی نشان می‌دهد بخشی از این آسیب‌پذیری به سیاست‌هایی بازمی‌گردد که قرار بود امنیت شبکه را افزایش دهند، اما در عمل مسیر نفوذ را هموارتر کردند.

به گزارش سیناپرس، شبکه بانکی و پرداخت کشور در اواخر خرداد و ابتدای تیر ۱۴۰۵ با یکی از مخرب‌ترین و گسترده‌ترین اختلالات سیستمی در تاریخ خود مواجه شد. این اختلالات که ناشی از یک حمله سایبری هماهنگ و چندمرحله‌ای به زیرساخت‌های حیاتی کشور بود، علاوه بر فلج کردن موقت تراکنش‌های خرد و کلان میلیون‌ها شهروند، زنگ خطر جدی را در خصوص میزان تاب‌آوری ساختاری کشور به صدا درآورد.

این بحران بانکی در قالب دو موج عملیاتی اصلی و پیاپی رخ داد که هسته خدماتی و پلتفرم‌های پرداخت کارت‌محور کشور را هدف گرفت.   

در روز شنبه ۲۳ خرداد ۱۴۰۵، گزارش‌های متعددی از سوی شهروندان مبنی بر قطع ناگهانی و کامل دسترسی به خدمات بانکی صادر شد. این اختلال گسترده، پلتفرم‌های همراه بانک، اینترنت بانک، خودپردازها (ATM) و پایانه‌های فروشگاهی (کارت‌خوان‌ها) را در چهار بانک بزرگ شامل بانک ملی، بانک صادرات، بانک تجارت و بانک توسعه صادرات به طور کامل از مدار خارج کرد.   

در پاسخ به این وضعیت اضطراری، شرکت خدمات انفورماتیک به عنوان هاب فنی و ارائه‌دهنده زیرساخت مشترک پرداخت به این بانک‌ها، تصمیم گرفت به منظور مهار دامنه نفوذ، جلوگیری از دسترسی‌های غیرمجاز و صیانت از اطلاعات حساس مالی مشتریان، ارائه خدمات پایه مبتنی بر کارت را در سراسر کشور به صورت موقت معلق کند. اگرچه در روزهای بعد بخشی از خدمات کارتی به صورت ناپایدار احیا شد، اما ریشه‌های نفوذ همچنان فعال باقی ماند.   

در حالی که تیم‌های تخصصی پدافند سایبری در حال تلاش برای بازگرداندن پایداری به شبکه بودند، موج دوم و شدیدتری از حملات در تاریخ ۲ تیر ۱۴۰۵ سیستم‌های هسته بانکی را نشانه رفت. این حمله بار دیگر خدمات کارت‌محور و تراکنش‌های آنلاین بانک‌های ملی و صادرات را به طور کامل متوقف کرد.

فرماندهی سایبری کشور با صدور بیانیه‌ای رسمی، وقوع حمله سایبری هدفمند با هدف «اختلال سازمان‌یافته در خدمات عمومی» را تایید کرد و هشدار داد که رفع کامل آثار تخریبی این حملات و بازگردانی پایدار سامانه‌ها ممکن است تا دو هفته به طول انجامد.   

زمان‌بندی این حملات پیوند عمیقی با تحولات دیپلماتیک در سطح کلان داشت. حملات سایبری دقیقاً در گرماگرم مذاکرات دیپلماتیک میان تهران و واشینگتن در سوئیس رخ داد. روزنامه تلگراف در گزارشی مستند فاش کرد که کارشناسان سایبری، گروه هکری خوش‌نام «گنجشک درنده» (Predatory Sparrow) را که به عنوان جبهه عملیاتی واحد ۸۲۰۰ ارتش اسرائیل و موساد شناخته می‌شود، عامل اصلی این حمله معرفی کرده‌اند.

این عملیات سایبری مشترک با هدف مسدودسازی مسیرهای نقل‌وانتقال پول، به تعویق انداختن توان مالی ایران و ضربه مستقیم به تفاهم‌نامه صلح سوئیس طراحی و اجرا شد.   

بانک مرکزی: با وجود تلاش‌ها، آثار اختلال بانکی همچنان ادامه دارد

امروز بانک مرکزی در اطلاعیه‌ای اعلام کرد از نخستین ساعات بروز اختلال، بررسی پیامدهای آن بر امور جاری مردم و فعالان اقتصادی را آغاز کرده و موضوعاتی مانند سررسید و وصول چک‌ها، تأخیر در بازپرداخت اقساط، جریمه دیرکرد تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی را با رویکرد حمایتی در دست بررسی قرار داده است.

این نهاد تأکید کرد هیأت عامل بانک مرکزی تمهیدات لازم را برای کاهش آثار این اختلالات بر مردم و فعالان اقتصادی اتخاذ خواهد کرد تا هیچ‌یک از مشتریان شبکه بانکی به دلیل شرایط خارج از اراده خود متضرر نشوند.

با این حال، انتشار این اطلاعیه نشان می‌دهد که علی‌رغم تلاش‌های هم‌زمان برای مهار بحران و بازگردانی سامانه‌ها، اختلالات و پیامدهای ناشی از حمله سایبری همچنان ادامه داشته و آثار آن بر خدمات بانکی و فعالیت‌های اقتصادی به‌طور کامل برطرف نشده بود.

گفتنی است که از ساعاتی پیش، بخشی از خدمات دو بانک ملی و صادرات بار دیگر با اختلال روبه‌رو شده است.

با وجود تلاش‌ها، آثار اختلال بانکی همچنان ادامه دارد

با وجود آغاز هم‌زمان اقدامات فنی برای بازگرداندن خدمات، آثار این حملات برای روزها در شبکه بانکی ادامه یافت. بانک مرکزی در اطلاعیه‌ای اعلام کرد از نخستین ساعات بروز اختلال، بررسی پیامدهای آن بر امور جاری مردم و فعالان اقتصادی را آغاز کرده و موضوعاتی مانند سررسید و وصول چک‌ها، تأخیر در بازپرداخت اقساط، جریمه دیرکرد تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی را با رویکرد حمایتی در دست بررسی قرار داده است.

این نهاد تأکید کرد هیأت عامل بانک مرکزی تمهیدات لازم را برای کاهش آثار این اختلالات بر مردم و فعالان اقتصادی اتخاذ خواهد کرد تا هیچ‌یک از مشتریان شبکه بانکی به دلیل شرایط خارج از اراده خود متضرر نشوند.

با این حال، انتشار این اطلاعیه نشان می‌دهد که علی‌رغم تلاش‌های هم‌زمان برای مهار بحران و بازگردانی سامانه‌ها، اختلالات و پیامدهای ناشی از حمله سایبری همچنان ادامه داشته و آثار آن بر خدمات بانکی و فعالیت‌های اقتصادی به‌طور کامل برطرف نشده بود.

فیلترینگ، دروازه نفوذ هکرها به زیرساخت‌های کشور 

بر خلاف تصورات سنتی پدافند غیرعامل که فیلترینگ و انزوای شبکه را سدی دفاعی در برابر حملات سایبری قلمداد می‌کنند، شواهد فنی و مستندات امنیتی سال ۱۴۰۵ نشان می‌دهند که فیلترینگ خود به یکی از بزرگ‌ترین پیشران‌های تخریب زیرساخت و تسهیل حملات سایبری تبدیل شده است.   

فیلترینگ باعث شده بخش قابل توجهی از کاربران و حتی کارشناسان فنی برای دسترسی به سرویس‌های ضروری، به استفاده دائمی از فیلترشکن‌ها و پروکسی‌های ناشناس وابسته شوند؛ ابزارهایی که بسیاری از آن‌ها از منابع نامعتبر توزیع شده و دسترسی گسترده‌ای به ترافیک اینترنت کاربران دارند. این وابستگی، سطح حمله (Attack Surface) را به‌طور قابل توجهی افزایش داده و امکان سرقت اطلاعات، رهگیری ارتباطات، تزریق بدافزار و اجرای حملات را برای مهاجمان فراهم می‌کند.

از سوی دیگر، ترافیک رمزگذاری‌شده و عبور داده‌ها از زنجیره‌ای از سرورهای واسط، فرآیند پایش، تشخیص و واکنش سریع تیم‌های امنیتی را نیز دشوارتر می‌کند. در چنین شرایطی، فیلترینگ نه‌تنها مانعی در برابر مهاجمان ایجاد نمی‌کند، بلکه با گسترش استفاده از ابزارهای غیرقابل اعتماد، به عاملی برای افزایش ریسک نفوذ و کاهش دید عملیاتی مدافعان سایبری تبدیل می‌شود.

حذف IPv6؛ پاشنه آشیل امنیت شبکه بانکی شد

تجهیزات بازرسی عمیق بسته‌ها (DPI) که توسط شرکت ارتباطات زیرساخت درگاه‌های اینترنت کشور را پایش می‌کنند، توانایی پردازش همزمان و بازرسی ترافیک مبتنی بر پروتکل نسل ششم (IPv6) را به دلیل ساختار رمزنگاری و آدرس‌دهی پیچیده آن ندارند. در نتیجه، متولیان فیلترینگ با حذف سازمان‌یافته این پروتکل، فضای آدرس‌دهی کشور را به محدوده منسوخ IPv4 زنجیر کردند.   

این اقدام به اشباع جداول شبکه و بروز پدیده پردازش فرساینده در تجهیزات لبه شبکه منجر شده است. پردازنده‌های روترها تحت بار ترافیکی سنگین ناشی از فیلترشکن‌ها داغ شده و تاخیری نمایی را به کل بسته‌های داده تحمیل می‌کنند.

در این بستر ناپایدار، پایگاه‌های داده بانک‌ها هنگام تبادل تراکنش‌ها با سامانه‌های مرکزی نظیر شتاب و شاپرک، مدام با خطای (Timeout) مواجه می‌شوند. مهاجمان سایبری با آگاهی کامل از این خستگی سخت‌افزاری، حملات خود را در ساعات اوج پردازش وارد کرده و به راحتی لایه دسترسی بانک‌ها را منهدم می‌کنند.   

فیلترینگ ریسک آلودگی زنجیره تأمین نرم‌افزار را افزایش داد

به دلیل محدودیت‌های دوطرفه فیلترینگ داخلی و تحریم‌های خارجی، مهندسان نرم‌افزار در بانک‌ها , شرکت‌های تابعه خدمات انفورماتیک، دسترسی مستقیمی به مراجع اصلی پکیج‌های برنامه‌نویسی ندارند. برنامه‌نویسان برای دور زدن این بن‌بست، ناگزیر به استفاده از نمونه‌های داخلی غیررسمی یا اتصال از طریق پروکسی‌های واسطه ناشناس هستند.   

مهاجمان با استفاده از تکنیک‌های پیچیده، کتابخانه‌های نرم‌افزاری مخرب با نام‌هایی بسیار مشابه به پکیج‌های اصلی را در این نمونه‌های ناامن تزریق می‌کنند. از آنجا که پکیج‌های دانلودشده فاقد امضاهای دیجیتال معتبر و مراجع راستی‌آزمایی جهانی هستند، کدهای مخرب حاوی (Backdoors) مستقیماً به کدهای منبع پلتفرم‌های بانکی و همراه بانک‌ها راه می‌یابند.

این نفوذها بدون جلب توجه سیستم‌های دفاعی، ماه‌ها در لایه‌های عمیق سیستم فعال می‌مانند تا در زمان مقرر، به عنوان مسیر ورود مهاجمان برای تخریب هسته پردازش بانکی مورد استفاده قرار گیرند.   

فرار نخبگان، بانک‌ها را در برابر هکرها آسیب‌پذیرتر کرد

یکی از نگران‌کننده‌ترین پیامدهای فضای انسداد دیجیتال، مهاجرت گسترده نیروهای خبره امنیت سایبری از کشور است. به اعتقاد کارشناسان برجسته و اعتراف صریح مدیران ارشد شرکت ارتباطات زیرساخت، فیلترینگ بی‌ضابطه و شرایط نامساعد اقتصادی، انگیزه کار و بقای متخصصان را نابود کرده و کشور را از سرمایه انسانی تهی ساخته است.

در غیاب نیروهای خبره‌ای که قادر به تحلیل رفتارهای پیچیده مهاجمان و مدیریت بحران در زمان حملات روز صفر باشند، سامانه‌های دفاعی بانک‌ها به صورت دستی و با خطاهای فاحش اداره می‌شوند که ثمره آن تداوم دوهفته‌ای آثار تخریبی یک حمله سایبری است.   

بحران سایبری خرداد و تیر ۱۴۰۵ خط بطلانی بر فرضیه پایداری سیستم‌ها در بستر انزوای شبکه کشید. سیاست‌های فیلترینگ نه‌تنها مانعی در برابر نفوذ هکرها ایجاد نکرد، بلکه با فرسوده کردن سخت‌افزارها، آلوده کردن کلاینت‌های داخلی و مسموم کردن زنجیره تامین نرم‌افزار، مقاومت شبکه بانکی را از درون متلاشی کرد.   

به نقل از خبر آنلاین، باید برای ارتقای پایداری ملی و جلوگیری از فجایع آینده، بازنگری در سیاست‌های فیلترینگ و بازسازی زیرساخت ارتباطی صورت گیرد و مداخلات پردازشی سنگین در لبه شبکه متوقف شود و استاندارد آدرس‌دهی IPv6 برای کاهش تراکم جداول مسیریابی و ایجاد پایداری در تراکنش‌ها باید احیا شود.

تداوم اصرار بر دکترین‌های منسوخ فیلترینگ و انزوا، شبکه مالی کشور را در جنگ‌های سایبری آینده بیش از پیش بی‌دفاع کرده و بستر مناسبی را برای فروپاشی‌های سیستمی مخرب‌تر فراهم خواهد ساخت.