شبکه بانکی و پرداخت کشور در اواخر خرداد و اوایل تیر 1405 با یکی از مخربترین و گستردهترین اختلالات سیستمی تاریخ خود مواجه شد که این اختلالات که ناشی از حمله سایبری هماهنگ و چند مرحلهای به زیرساختهای حیاتی کشور بود، علاوه بر فلج شدن موقتی زنگ خطر جدی تراکنشهای خرد و کلان شهروندان را به همراه داشت. تاب آوری کشور
این بحران بانکی در قالب دو موج عملیاتی اصلی و متوالی رخ داد که هسته خدماتی و بسترهای پرداخت مبتنی بر کارت کشور را هدف گرفت.
روز شنبه 2 خرداد 1405 گزارش های متعددی از سوی شهروندان مبنی بر قطع ناگهانی و کامل خدمات بانکی منتشر شد. این اختلال گسترده باعث از کار افتادن پلتفرمهای تلفن همراه، بانکداری اینترنتی، دستگاههای باجه خودکار (ATM) و پایانههای فروشگاهی (کارتخوانها) در چهار بانک بزرگ بانک ملی، بانک صادرات، بانک تجارت و بانک تجارت صادرات شد.
در پاسخ به این شرایط اضطراری، شرکت خدمات انفورماتیک بهعنوان قطب فنی و ارائهدهنده زیرساختهای پرداخت مشترک به این بانکها، به منظور مهار دامنه نفوذ، جلوگیری از دسترسیهای غیرمجاز و حفاظت از اطلاعات حساس مالی مشتریان، تصمیم به توقف موقت ارائه خدمات مبتنی بر کارت در سراسر کشور گرفت. اگرچه در روزهای بعد بخشی از خدمات کارت بازیابی شد، اما ریشههای نفوذ همچنان فعال بود.
در حالی که تیم های تخصصی دفاع سایبری در تلاش برای بازگرداندن ثبات به شبکه بودند، موج دوم و شدیدتر حملات در 2 ژوئیه 1405، سیستم های هسته بانکی را هدف قرار دادند. این حمله بار دیگر خدمات مبتنی بر کارت و تراکنش های آنلاین بانک های ملی و صادرات را به طور کامل متوقف کرد.
فرماندهی سایبری کشور با صدور بیانیهای رسمی وقوع یک حمله سایبری هدفمند با هدف «اختلال سازمانیافته در خدمات عمومی» را تایید کرد و هشدار داد رفع کامل آثار مخرب این حملات و بازگرداندن سیستمها به وضعیت پایدار ممکن است تا دو هفته زمان ببرد.
زمان وقوع این حملات ارتباط عمیقی با تحولات دیپلماتیک در سطح کلان داشت. این حملات سایبری درست در گرماگرم مذاکرات دیپلماتیک بین تهران و واشنگتن در سوئیس صورت گرفت. روزنامه تلگراف در گزارشی مستند فاش کرد که کارشناسان سایبری گروه هکری «گنجشک درنده» را که به جبهه عملیاتی واحد 8200 ارتش اسرائیل و موساد معروف است، عامل اصلی این حمله معرفی کردند. این عملیات مشترک سایبری با هدف مسدود کردن مسیرهای انتقال پول، به تاخیر انداختن توان مالی ایران و ضربه مستقیم به توافقنامه صلح سوئیس طراحی و اجرا شد.
بانک مرکزی: با وجود تلاش های صورت گرفته، آثار اختلال بانکی همچنان ادامه دارد
بانک مرکزی امروز در اطلاعیهای اعلام کرد که از نخستین ساعات وقوع اختلال، بررسی تبعات آن بر امور جاری مردم و فعالان اقتصادی را آغاز کرده و با رویکرد حمایتی به موضوعاتی چون سررسید و وصول چک، تاخیر در بازپرداخت اقساط، جریمه تاخیر در پرداخت تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی پرداخته است.
این نهاد تاکید کرد: هیات عامل بانک مرکزی اقدامات لازم را برای کاهش اثرات این اختلالات بر مردم و فعالان اقتصادی انجام خواهد داد تا هیچ یک از مشتریان شبکه بانکی به دلیل شرایط خارج از کنترل خود متضرر نشوند. اما انتشار این اطلاعیه نشان میدهد که با وجود تلاشهای همزمان برای مهار بحران و بازگرداندن سامانهها، اختلالات و پیامدهای ناشی از حمله سایبری همچنان ادامه داشته و آثار آن بر خدمات بانکی و فعالیتهای اقتصادی به طور کامل برطرف نشده است.
لازم به ذکر است ساعاتی پیش بار دیگر برخی از خدمات دو بانک ملی و صادرات با اختلال مواجه شده است.
با وجود تلاش ها، اثرات بحران بانکی همچنان ادامه دارد
با وجود آغاز همزمان اقدامات فنی برای بازگرداندن خدمات، اثرات این حملات تا روزها بر شبکه بانکی ادامه داشت. بانک مرکزی در اطلاعیهای اعلام کرد که از همان ساعات اولیه وقوع این اختلال، بررسی پیامدهای آن بر امور جاری مردم و فعالان اقتصادی را آغاز کرده و موضوعاتی مانند سررسید و وصول چکها، تاخیر در بازپرداخت اقساط، جریمه دیرکرد تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی را با رویکرد حمایتی بررسی کرده است.
این نهاد تاکید کرد: هیات عامل بانک مرکزی اقدامات لازم را برای کاهش اثرات این اختلالات بر مردم و فعالان اقتصادی انجام خواهد داد تا هیچ یک از مشتریان شبکه بانکی به دلیل شرایط خارج از کنترل خود متضرر نشوند. اما انتشار این اطلاعیه نشان میدهد که با وجود تلاشهای همزمان برای مهار بحران و بازگرداندن سامانهها، اختلالات و پیامدهای ناشی از حمله سایبری همچنان ادامه داشته و آثار آن بر خدمات بانکی و فعالیتهای اقتصادی به طور کامل برطرف نشده است.
فیلترینگ، دروازه نفوذ هکرها به زیرساخت های کشور
برخلاف تصورات سنتی پدافند غیرعامل که فیلترینگ و انزوا شبکه را مانعی دفاعی در برابر حملات سایبری میدانند، شواهد فنی و اسناد امنیتی سال 1405 نشان میدهد که فیلترینگ خود به یکی از بزرگترین محرکهای تخریب زیرساختها و تسهیل حملات سایبری تبدیل شده است.
فیلترینگ باعث شده تا بخش قابل توجهی از کاربران و حتی کارشناسان فنی برای دسترسی به خدمات ضروری به استفاده مداوم از فیلترشکن ها و پراکسی های ناشناس وابسته شوند. ابزارهایی که بسیاری از آنها از منابع نامعتبر توزیع شده اند و دسترسی گسترده ای به ترافیک اینترنت کاربران دارند. این وابستگی سطح حمله را به میزان قابل توجهی افزایش می دهد و امکان سرقت اطلاعات، رهگیری ارتباطات، تزریق بدافزار و اجرای حملات را برای مهاجمان فراهم می کند.
از سوی دیگر، ترافیک و داده های رمزگذاری شده که از طریق زنجیره ای از سرورهای واسطه عبور می کنند، روند نظارت، شناسایی و واکنش سریع را برای تیم های امنیتی دشوارتر می کند. در چنین شرایطی فیلترینگ نه تنها مانعی در برابر مهاجمان ایجاد نمیکند، بلکه با گسترش استفاده از ابزارهای غیرقابل اعتماد، عاملی برای افزایش ریسک نفوذ و کاهش دید عملیاتی مدافعان سایبری میشود.
حذف IPv6؛ پاشنه آشیل امنیت شبکه بانکی
تجهیزات بازرسی بسته عمیق (DPI) که زیرساخت پورت های اینترنتی کشور را توسط شرکت ارتباطات رصد می کند، به دلیل ساختار رمزنگاری و آدرس دهی پیچیده، قابلیت پردازش و بازرسی همزمان ترافیک بر اساس پروتکل نسل ششم (IPv6) را ندارد. در نتیجه، مقامات فیلترینگ با حذف سیستماتیک این پروتکل، فضای آدرس کشور را به محدوده IPv4 منسوخ زنجیر کردند.
این اقدام منجر به اشباع جداول شبکه و بروز پدیده پردازش فرسایشی در تجهیزات لبه شبکه شده است. پردازندههای روترها تحت بار ترافیکی سنگین ناشی از فیلترشکنها گرم میشوند و تأخیر نمایی را بر روی تمام بستههای داده تحمیل میکنند. در این بستر ناپایدار، پایگاههای اطلاعاتی بانکها بهطور مداوم هنگام مبادله تراکنشها با سامانههای مرکزی مانند شتاب و شاپرک با خطای تایم اوت مواجه میشوند. مهاجمان سایبری با آگاهی کامل از این خستگی سخت افزاری، حملات خود را در ساعات اوج پردازش انجام می دهند و به راحتی لایه دسترسی بانک ها را از بین می برند.
فیلتر کردن خطر آلودگی زنجیره تامین نرم افزار را افزایش داد
به دلیل محدودیت های دو جانبه فیلتر داخلی و تحریم های خارجی، مهندسین نرم افزار در بانک ها و شرکت های تابعه خدمات فناوری اطلاعات دسترسی مستقیم به منابع اصلی بسته های برنامه نویسی ندارند. برای عبور از این بن بست، توسعه دهندگان مجبور به استفاده از نمونه های داخلی غیر رسمی یا اتصال از طریق پروکسی های واسطه ناشناس هستند.
مهاجمان با استفاده از تکنیکهای پیچیده، کتابخانههای نرمافزارهای مخرب را با نامهای بسیار شبیه بستههای اصلی به این نمونههای ناامن تزریق میکنند. از آنجایی که بستههای دانلود شده دارای امضای دیجیتال معتبر و مقامات تأیید جهانی نیستند، کدهای مخرب حاوی درهای پشتی مستقیماً وارد کدهای منبع پلت فرمهای بانکی و موبایلهای بانکی میشوند. این نفوذها برای ماهها در لایههای عمیق سیستم بدون جلب توجه سیستمهای پدافندی فعال میمانند تا اینکه در زمان مقرر به عنوان مسیر ورود مهاجمان برای تخریب هسته پردازش بانکی مورد استفاده قرار میگیرند.
پرواز نخبگان بانک ها را در برابر هکرها آسیب پذیرتر کرد
یکی از نگران کننده ترین پیامدهای فضای مسدودسازی دیجیتال، مهاجرت گسترده کارشناسان امنیت سایبری از کشور است. بر اساس نظر کارشناسان برجسته و اعتراف صریح مدیران ارشد شرکت ارتباطات زیرساخت، فیلترینگ بی رویه و شرایط نامناسب اقتصادی، انگیزه کاری و بقای متخصصان را از بین برده و کشور را از سرمایه انسانی خالی کرده است.
در غیاب نیروهای متخصص که قادر به تحلیل رفتار پیچیده مهاجمان و مدیریت بحران در حملات روز صفر باشند، سیستمهای دفاعی بانکها به صورت دستی و با خطاهای فاحش مدیریت میشوند که نتیجه آن تداوم دو هفتهای اثرات مخرب یک حمله سایبری است.
بحران سایبری ژوئن و ژوئیه 1405، فرضیه ثبات سیستم را در زمینه انزوای شبکه باطل کرد. سیاست های فیلترینگ نه تنها مانعی در برابر نفوذ هکرها ایجاد نکرد، بلکه با فرسودگی سخت افزار، آلوده کردن مشتریان داخلی و مسموم کردن زنجیره تامین نرم افزار، انعطاف پذیری شبکه بانکی را از درون از بین برد.
به منظور ارتقای ثبات ملی و جلوگیری از بلایای آتی، باید در سیاستهای فیلترینگ و بازسازی زیرساختهای ارتباطی بازنگری شود و مداخلات پردازشی سنگین در لبه شبکه متوقف شود و استاندارد آدرسدهی IPv6 برای کاهش تراکم جداول مسیریابی و ایجاد ثبات در تراکنشها احیا شود.
تداوم اصرار بر دکترینهای منسوخ فیلترینگ و انزوا، شبکه مالی کشور را در جنگهای سایبری آینده بیدفاعتر کرده و بستر مناسبی را برای فروپاشیهای مخربتر سیستمی فراهم میکند.
