فیلترینگ چگونه موجب آسیب‌پذیری شبکه بانکی گردید

در اواخر خرداد و آغاز تیرماه سال ۱۴۰۵، سیستم بانکی و پرداخت کشور با یکی از وسیع‌ترین و ویرانگرترین اختلالات سیستمی در تاریخ خود روبرو شد. این اختلالات که نتیجه یک حمله سایبری هماهنگ و چندمرحله‌ای به زیرساخت‌های کلیدی کشور به شمار می‌رفت، نه تنها باعث اختلال موقت در تراکنش‌های خرد و کلان میلیون‌ها شهروند شد، بلکه زنگ خطری جدی را در مورد میزان تاب‌آوری ساختاری کشور به صدا درآورد.

این بحران بانکی به صورت دو موج اصلی و متوالی خود را نشان داد که هدف آن، هسته خدمات و پلتفرم‌های پرداخت کارت‌محور کشور بود.   

در روز شنبه ۲۳ خرداد ۱۴۰۵، شهروندان به طور گسترده از قطع ناگهانی و کامل دسترسی به خدمات بانکی گزارش دادند. این اختلال همزمان به پلتفرم‌های همراه بانک، اینترنت بانک، دستگاه‌های خودپرداز (ATM) و پایانه‌های فروشگاهی (کارت‌خوان‌ها) در چهار بانک بزرگ یعنی بانک ملی، بانک صادرات، بانک تجارت و بانک توسعه صادرات آسیب زد و آنها را به‌طور کامل از کار انداخت.   

به منظور مدیریت این وضعیت بحرانی، شرکت خدمات انفورماتیک که به عنوان مرکز فنی و ارائه‌دهنده زیرساخت‌های مشترک پرداخت به این بانک‌ها شناخته می‌شود، تصمیم گرفت به طور موقت خدمات پایه مبتنی بر کارت را در سراسر کشور معلق کند تا از گسترش نفوذ، جلوگیری از دسترسی‌های غیرمجاز و محافظت از اطلاعات مالی حساس مشتریان اطمینان حاصل کند. اگرچه در روزهای بعد بخش‌هایی از خدمات کارتی به طور نامنظم بازگردانده شد، اما نشانه‌های نفوذ کماکان وجود داشت و فعال بود.

در حالی که تیم‌های تخصصی پدافند سایبری در تلاش برای بازگرداندن پایداری به شبکه به کار مشغول بودند، حمله دوم و قوی‌تری در تاریخ ۲ تیر ۱۴۰۵، سیستم‌های هسته بانکی را هدف قرار داد. این حمله مجدداً خدمات کارت‌محور و تراکنش‌های آنلاین بانک‌های ملی و صادرات را به‌طور کامل متوقف کرد. فرماندهی سایبری کشور با صدور بیانیه‌ای، وقوع حمله سایبری هدفمند با هدف «اختلال سازمان‌یافته در خدمات عمومی» را تأیید و هشدار داد که ممکن است اصلاح کامل آثار تخریبی این حملات و بازگردانی پایدار سامانه‌ها تا دو هفته به طول بینجامد.

زمان‌بندی این حملات به طور عمیق با تحولات دیپلماتیک در سطح کلان مرتبط بود. این حملات به‌طور همزمان با مذاکرات دیپلماتیک میان تهران و واشینگتن در سوئیس صورت گرفت. روزنامه تلگراف در گزارشی مستند فاش کرد که کارشناسان سایبری، گروه هکری با نام «گنجشک درنده» (Predatory Sparrow) را که به عنوان جبهه عملیاتی واحد ۸۲۰۰ ارتش اسرائیل و موساد شناخته می‌شود، به عنوان عامل اصلی این حمله معرفی کرده‌اند. این عملیات سایبری مشترک به منظور مسدودسازی مسیرهای انتقال پول، به تعویق انداختن توان مالی ایران و ضربه مستقیم به تفاهم‌نامه صلح سوئیس طراحی و پیاده‌سازی شده بود.   

 

بانک مرکزی: با وجود تلاش‌ها، آثار اختلال بانکی همچنان ادامه دارد




امروز بانک مرکزی با صدور اطلاعیه‌ای اعلام کرد که از نخستین ساعات وقوع اختلال، بررسی پیامدهای آن بر امور جاری مردم و فعالان اقتصادی را آغاز کرده و موضوعاتی از قبیل سررسید و وصول چک‌ها، تأخیر در بازپرداخت اقساط، جریمه‌های تأخیر در تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی را با رویکرد حمایتی بررسی می‌کند.

این نهاد بر این نکته تأکید کرد که هیأت عامل بانک مرکزی تدابیر لازم را برای کاهش آثار این اختلالات بر مردم و فعالان اقتصادی اتخاذ خواهد کرد تا هیچ یک از مشتریان شبکه بانکی به دلیل شرایط خارج از اراده خود متضرر نشوند. با این حال، انتشار این اطلاعیه نمایانگر آن است که علی‌رغم تلاش‌های هم‌زمان برای مهار بحران و بهبود سامانه‌ها، اختلالات و پیامدهای ناشی از حمله سایبری همچنان ادامه داشته و آثار آن بر خدمات بانکی و فعالیت‌های اقتصادی به‌طور کامل برطرف نشده است.

جالب است که از ساعاتی پیش، بخش‌هایی از خدمات دو بانک ملی و صادرات مجدداً با اختلال مواجه شده است.

 

با وجود تلاش‌ها، آثار اختلال بانکی همچنان ادامه دارد




علی‌رغم شروع همزمان اقدامات فنی برای بازگردانی خدمات، تأثیرات این حملات تا چند روز در شبکه بانکی ادامه پیدا کرد. بانک مرکزی در اطلاعیه‌ای اعلام کرد که آزمایش و بررسی پیامدهای این اختلال بر امور جاری مردم و فعالان اقتصادی را از نخستین ساعات واقعه آغاز کرده و به مسائلی همچون سررسید و وصول چک‌ها، تأخیر در بازپرداخت اقساط، جریمه دیرکرد تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی با رویکرد حمایتی پرداخته است.

این نهاد همچنین تأکید کرد که هیأت عامل بانک مرکزی به اتخاذ تمهیدات لازم برای کاهش آثار این اختلالات بر مردم و فعالان اقتصادی متعهد است تا هیچ‌یک از مشتریان شبکه بانکی به دلیل شرایط خارج از اراده خود دچار مشکل نشوند. با این حال، انتشار این اطلاعیه نشان‌دهنده وجود اختلالات ادامه‌دار و پیامدهای ناشی از حمله سایبری است که به‌طور کامل برطرف نشده و همچنان بر خدمات بانکی و فعالیت‌های اقتصادی اثرگذار است.

 

فیلترینگ، دروازه نفوذ هکرها به زیرساخت‌های کشور




بر خلاف تصور سنتی کارشناسان پدافند غیرعامل که فیلترینگ و انزوای شبکه را به عنوان یک سد دفاعی در برابر حملات سایبری در نظر می‌گیرند، شواهد فنی و مستندات امنیتی مرتبط با سال ۱۴۰۵ نشان می‌دهد که فیلترینگ به یکی از بزرگ‌ترین عوامل تخریب زیرساخت و تسهیل کننده حملات سایبری تبدیل شده است.   

فیلترینگ موجب شده است تا بخش قابل توجهی از کاربران و حتی متخصصان فنی برای دسترسی به سرویس‌های ضروری، به استفاده دائمی از فیلترشکن‌ها و پروکسی‌های ناشناس وابسته شوند. این ابزارها، بسیاری از آنها از منابع غیرقابل اعتماد در دسترس قرار گرفته‌اند و دسترسی وسیعی به ترافیک اینترنت کاربران را فراهم می‌آورند. این وابستگی باعث افزایش خطر حمله (Attack Surface) به‌طور چشمگیر و سهولت سرقت اطلاعات، رصد ارتباطات، تزریق بدافزار و اجرای حملات را برای مهاجمان فراهم می‌کند.

از سوی دیگر، ترافیک رمزگذاری‌شده و عبور داده‌ها از زنجیره‌ای از سرورهای واسط، فرآیند نظارت، شناسایی و پاسخ‌دهی سریع تیم‌های امنیتی را دشوارتر ساخته است. در این وضعیت، فیلترینگ نه تنها مانع مهاجمان نمی‌شود، بلکه با گسترش استفاده از ابزارهای ناشناخته، به عاملی برای افزایش خطر نفوذ و کاهش قابلیت دید عملیاتی مدافعان سایبری تبدیل می‌گردد.

 

حذف IPv6؛ پاشنه‌آشیل امنیت شبکه بانکی شد




تجهیزات بازرسی عمیق بسته‌ها (DPI) که به وسیله شرکت ارتباطات زیرساخت درگاه‌های اینترنتی کشور را تحت نظر دارند، به دلیل پیچیدگی‌های مربوط به ساختار رمزنگاری و آدرس‌دهی پروتکل نسل ششم (IPv6)، قادر به بازرسی همزمان و پردازش ترافیک نمی‌باشند. به همین خاطر، متولیان فیلترینگ اقدام به حذف سازمان‌یافته این پروتکل کرده و فضای آدرس‌دهی کشور را به محدوده منسوخ IPv4 محدود کردند.   

این تصمیم منجر به پر شدن جداول شبکه و بروز پدیده پردازش سنگین در تجهیزات لبه شبکه شده است. پردازنده‌های روترها تحت تأثیر بار ترافیکی سنگین ناشی از فیلترشکن‌ها، دچار افزایش دما شده و تأخیر قابل ملاحظه‌ای را به کل بسته‌های داده می‌افزایند. در چنین شرایطی، پایگاه‌های داده بانک‌ها در هنگام تبادل تراکنش‌ها با سامانه‌های مرکزی مانند شتاب و شاپرک، اغلب با خطای (Timeout) مواجه می‌شوند. مهاجمان سایبری با آگاهی از خستگی سخت‌افزاری این تجهیزات، حملات خود را در ساعات اوج بار پردازشی تنظیم کرده و به سادگی به لایه دسترسی بانک‌ها نفوذ می‌کنند.   

فیلترینگ ریسک آلودگی زنجیره تأمین نرم‌افزار را افزایش داد




به دلیل محدودیت‌های دوطرفه ناشی از فیلترینگ داخلی و تحریم‌های خارجی، مهندسان نرم‌افزار در بانک‌ها و شرکت‌های تابعه خدمات انفورماتیک، نمی‌توانند به‌طور مستقیم به منابع اصلی پکیج‌های برنامه‌نویسی دسترسی داشته باشند. برنامه‌نویسان ناگزیر برای دور زدن این مشکل از نمونه‌های داخلی غیررسمی یا از طریق پروکسی‌های ناشناس به این منابع دسترسی پیدا کنند.

مهاجمان با بهره‌گیری از تکنیک‌های پیچیده، می‌توانند کتابخانه‌های نرم‌افزاری مخرب با نام‌هایی مشابه به پکیج‌های اصلی را در این نمونه‌های ناامن تزریق کنند. از آنجا که پکیج‌های دانلود شده فاقد امضای دیجیتال معتبر و مراجع راستی‌آزمایی جهانی هستند، کدهای مخرب حاوی (Backdoors) به راحتی به کدهای منبع پلتفرم‌های بانکی و همراه بانک‌ها راه می‌یابند. این نفوذها بدون جلب توجه سیستم‌های دفاعی، ماه‌ها در لایه‌های عمیق سیستم باقی می‌مانند تا در زمان مناسب به عنوان راهی برای ورود مهاجمان به هسته فرآیند بانکی مورد استفاده قرار گیرند.   

فرار نخبگان، بانک‌ها را در برابر هکرها آسیب‌پذیرتر کرد




یکی از نگران‌کننده‌ترین عواقب فضای انسداد دیجیتال، مهاجرت گسترده متخصصان امنیت سایبری از کشور است. به باور کارشناسان برجسته و اعترافات صریح مدیران ارشد شرکت ارتباطات زیرساخت، فیلترینگ بی‌ضابطه و وضعیت نامساعد اقتصادی، انگیزه کار و بقای متخصصان را به‌طور جدی لطمه زده و کشور را از نیروی انسانی خویش تهی کرده است.

در غیاب نیروی متخصصی که توانایی تحلیل رفتارهای پیچیده مهاجمان و مدیریت بحران در زمان وقوع حملات را داشته باشد، سامانه‌های دفاعی بانک‌ها به صورت دستی و با خطاهای زیاد اداره می‌شوند که نتیجه آن، استمرار دوهفته‌ای آثار مخرب یک حمله سایبری است.

بحران سایبری خرداد و تیر ۱۴۰۵ به وضوح ناقض فرضیه پایداری سیستم‌ها در بستر انزوا شبکه بود. سیاست‌های فیلترینگ نه تنها به عنوان مانعی در برابر نفوذ هکرها عمل نکردند، بلکه با فرسوده کردن سخت‌افزارها، آلوده کردن کلاینت‌های داخلی و مسموم کردن زنجیره تأمین نرم‌افزار، تاب‌آوری شبکه بانکی را از درون نابود کردند.

برای ارتقای پایداری ملی و جلوگیری از فجایع آتی، ضروری است که سیاست‌های فیلترینگ بازنگری و زیرساخت‌های ارتباطی بهینه‌سازی گردند، مداخلات پردازشی سنگین در لبه شبکه متوقف شوند و استاندارد آدرس‌دهی IPv6 برای کاهش تراکم جداول مسیریابی و ایجاد ثبات در تراکنش‌ها احیا شود.

تداوم دسترسی به دکترین‌های منسوخ فیلترینگ و انزوا، شبکه مالی کشور را در برابر تهدیدات سایبری آتی به شدت آسیب‌پذیر ساخته و بستر مناسبی برای وقوع فروپاشی‌های سیستماتیک و ویرانگر فراهم خواهد کرد. / خبرآنلاین

مشاهده بیشتر

نوشته های مشابه

دکمه بازگشت به بالا