فیلترینگ چگونه موجب آسیبپذیری شبکه بانکی گردید

این بحران بانکی به صورت دو موج اصلی و متوالی خود را نشان داد که هدف آن، هسته خدمات و پلتفرمهای پرداخت کارتمحور کشور بود.
در روز شنبه ۲۳ خرداد ۱۴۰۵، شهروندان به طور گسترده از قطع ناگهانی و کامل دسترسی به خدمات بانکی گزارش دادند. این اختلال همزمان به پلتفرمهای همراه بانک، اینترنت بانک، دستگاههای خودپرداز (ATM) و پایانههای فروشگاهی (کارتخوانها) در چهار بانک بزرگ یعنی بانک ملی، بانک صادرات، بانک تجارت و بانک توسعه صادرات آسیب زد و آنها را بهطور کامل از کار انداخت.
به منظور مدیریت این وضعیت بحرانی، شرکت خدمات انفورماتیک که به عنوان مرکز فنی و ارائهدهنده زیرساختهای مشترک پرداخت به این بانکها شناخته میشود، تصمیم گرفت به طور موقت خدمات پایه مبتنی بر کارت را در سراسر کشور معلق کند تا از گسترش نفوذ، جلوگیری از دسترسیهای غیرمجاز و محافظت از اطلاعات مالی حساس مشتریان اطمینان حاصل کند. اگرچه در روزهای بعد بخشهایی از خدمات کارتی به طور نامنظم بازگردانده شد، اما نشانههای نفوذ کماکان وجود داشت و فعال بود.
در حالی که تیمهای تخصصی پدافند سایبری در تلاش برای بازگرداندن پایداری به شبکه به کار مشغول بودند، حمله دوم و قویتری در تاریخ ۲ تیر ۱۴۰۵، سیستمهای هسته بانکی را هدف قرار داد. این حمله مجدداً خدمات کارتمحور و تراکنشهای آنلاین بانکهای ملی و صادرات را بهطور کامل متوقف کرد. فرماندهی سایبری کشور با صدور بیانیهای، وقوع حمله سایبری هدفمند با هدف «اختلال سازمانیافته در خدمات عمومی» را تأیید و هشدار داد که ممکن است اصلاح کامل آثار تخریبی این حملات و بازگردانی پایدار سامانهها تا دو هفته به طول بینجامد.
زمانبندی این حملات به طور عمیق با تحولات دیپلماتیک در سطح کلان مرتبط بود. این حملات بهطور همزمان با مذاکرات دیپلماتیک میان تهران و واشینگتن در سوئیس صورت گرفت. روزنامه تلگراف در گزارشی مستند فاش کرد که کارشناسان سایبری، گروه هکری با نام «گنجشک درنده» (Predatory Sparrow) را که به عنوان جبهه عملیاتی واحد ۸۲۰۰ ارتش اسرائیل و موساد شناخته میشود، به عنوان عامل اصلی این حمله معرفی کردهاند. این عملیات سایبری مشترک به منظور مسدودسازی مسیرهای انتقال پول، به تعویق انداختن توان مالی ایران و ضربه مستقیم به تفاهمنامه صلح سوئیس طراحی و پیادهسازی شده بود.
بانک مرکزی: با وجود تلاشها، آثار اختلال بانکی همچنان ادامه دارد
امروز بانک مرکزی با صدور اطلاعیهای اعلام کرد که از نخستین ساعات وقوع اختلال، بررسی پیامدهای آن بر امور جاری مردم و فعالان اقتصادی را آغاز کرده و موضوعاتی از قبیل سررسید و وصول چکها، تأخیر در بازپرداخت اقساط، جریمههای تأخیر در تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی را با رویکرد حمایتی بررسی میکند.
این نهاد بر این نکته تأکید کرد که هیأت عامل بانک مرکزی تدابیر لازم را برای کاهش آثار این اختلالات بر مردم و فعالان اقتصادی اتخاذ خواهد کرد تا هیچ یک از مشتریان شبکه بانکی به دلیل شرایط خارج از اراده خود متضرر نشوند. با این حال، انتشار این اطلاعیه نمایانگر آن است که علیرغم تلاشهای همزمان برای مهار بحران و بهبود سامانهها، اختلالات و پیامدهای ناشی از حمله سایبری همچنان ادامه داشته و آثار آن بر خدمات بانکی و فعالیتهای اقتصادی بهطور کامل برطرف نشده است.
جالب است که از ساعاتی پیش، بخشهایی از خدمات دو بانک ملی و صادرات مجدداً با اختلال مواجه شده است.
با وجود تلاشها، آثار اختلال بانکی همچنان ادامه دارد
علیرغم شروع همزمان اقدامات فنی برای بازگردانی خدمات، تأثیرات این حملات تا چند روز در شبکه بانکی ادامه پیدا کرد. بانک مرکزی در اطلاعیهای اعلام کرد که آزمایش و بررسی پیامدهای این اختلال بر امور جاری مردم و فعالان اقتصادی را از نخستین ساعات واقعه آغاز کرده و به مسائلی همچون سررسید و وصول چکها، تأخیر در بازپرداخت اقساط، جریمه دیرکرد تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی با رویکرد حمایتی پرداخته است.
این نهاد همچنین تأکید کرد که هیأت عامل بانک مرکزی به اتخاذ تمهیدات لازم برای کاهش آثار این اختلالات بر مردم و فعالان اقتصادی متعهد است تا هیچیک از مشتریان شبکه بانکی به دلیل شرایط خارج از اراده خود دچار مشکل نشوند. با این حال، انتشار این اطلاعیه نشاندهنده وجود اختلالات ادامهدار و پیامدهای ناشی از حمله سایبری است که بهطور کامل برطرف نشده و همچنان بر خدمات بانکی و فعالیتهای اقتصادی اثرگذار است.
فیلترینگ، دروازه نفوذ هکرها به زیرساختهای کشور
بر خلاف تصور سنتی کارشناسان پدافند غیرعامل که فیلترینگ و انزوای شبکه را به عنوان یک سد دفاعی در برابر حملات سایبری در نظر میگیرند، شواهد فنی و مستندات امنیتی مرتبط با سال ۱۴۰۵ نشان میدهد که فیلترینگ به یکی از بزرگترین عوامل تخریب زیرساخت و تسهیل کننده حملات سایبری تبدیل شده است.
فیلترینگ موجب شده است تا بخش قابل توجهی از کاربران و حتی متخصصان فنی برای دسترسی به سرویسهای ضروری، به استفاده دائمی از فیلترشکنها و پروکسیهای ناشناس وابسته شوند. این ابزارها، بسیاری از آنها از منابع غیرقابل اعتماد در دسترس قرار گرفتهاند و دسترسی وسیعی به ترافیک اینترنت کاربران را فراهم میآورند. این وابستگی باعث افزایش خطر حمله (Attack Surface) بهطور چشمگیر و سهولت سرقت اطلاعات، رصد ارتباطات، تزریق بدافزار و اجرای حملات را برای مهاجمان فراهم میکند.
از سوی دیگر، ترافیک رمزگذاریشده و عبور دادهها از زنجیرهای از سرورهای واسط، فرآیند نظارت، شناسایی و پاسخدهی سریع تیمهای امنیتی را دشوارتر ساخته است. در این وضعیت، فیلترینگ نه تنها مانع مهاجمان نمیشود، بلکه با گسترش استفاده از ابزارهای ناشناخته، به عاملی برای افزایش خطر نفوذ و کاهش قابلیت دید عملیاتی مدافعان سایبری تبدیل میگردد.
حذف IPv6؛ پاشنهآشیل امنیت شبکه بانکی شد
تجهیزات بازرسی عمیق بستهها (DPI) که به وسیله شرکت ارتباطات زیرساخت درگاههای اینترنتی کشور را تحت نظر دارند، به دلیل پیچیدگیهای مربوط به ساختار رمزنگاری و آدرسدهی پروتکل نسل ششم (IPv6)، قادر به بازرسی همزمان و پردازش ترافیک نمیباشند. به همین خاطر، متولیان فیلترینگ اقدام به حذف سازمانیافته این پروتکل کرده و فضای آدرسدهی کشور را به محدوده منسوخ IPv4 محدود کردند.
این تصمیم منجر به پر شدن جداول شبکه و بروز پدیده پردازش سنگین در تجهیزات لبه شبکه شده است. پردازندههای روترها تحت تأثیر بار ترافیکی سنگین ناشی از فیلترشکنها، دچار افزایش دما شده و تأخیر قابل ملاحظهای را به کل بستههای داده میافزایند. در چنین شرایطی، پایگاههای داده بانکها در هنگام تبادل تراکنشها با سامانههای مرکزی مانند شتاب و شاپرک، اغلب با خطای (Timeout) مواجه میشوند. مهاجمان سایبری با آگاهی از خستگی سختافزاری این تجهیزات، حملات خود را در ساعات اوج بار پردازشی تنظیم کرده و به سادگی به لایه دسترسی بانکها نفوذ میکنند.
فیلترینگ ریسک آلودگی زنجیره تأمین نرمافزار را افزایش داد
به دلیل محدودیتهای دوطرفه ناشی از فیلترینگ داخلی و تحریمهای خارجی، مهندسان نرمافزار در بانکها و شرکتهای تابعه خدمات انفورماتیک، نمیتوانند بهطور مستقیم به منابع اصلی پکیجهای برنامهنویسی دسترسی داشته باشند. برنامهنویسان ناگزیر برای دور زدن این مشکل از نمونههای داخلی غیررسمی یا از طریق پروکسیهای ناشناس به این منابع دسترسی پیدا کنند.
مهاجمان با بهرهگیری از تکنیکهای پیچیده، میتوانند کتابخانههای نرمافزاری مخرب با نامهایی مشابه به پکیجهای اصلی را در این نمونههای ناامن تزریق کنند. از آنجا که پکیجهای دانلود شده فاقد امضای دیجیتال معتبر و مراجع راستیآزمایی جهانی هستند، کدهای مخرب حاوی (Backdoors) به راحتی به کدهای منبع پلتفرمهای بانکی و همراه بانکها راه مییابند. این نفوذها بدون جلب توجه سیستمهای دفاعی، ماهها در لایههای عمیق سیستم باقی میمانند تا در زمان مناسب به عنوان راهی برای ورود مهاجمان به هسته فرآیند بانکی مورد استفاده قرار گیرند.
فرار نخبگان، بانکها را در برابر هکرها آسیبپذیرتر کرد
یکی از نگرانکنندهترین عواقب فضای انسداد دیجیتال، مهاجرت گسترده متخصصان امنیت سایبری از کشور است. به باور کارشناسان برجسته و اعترافات صریح مدیران ارشد شرکت ارتباطات زیرساخت، فیلترینگ بیضابطه و وضعیت نامساعد اقتصادی، انگیزه کار و بقای متخصصان را بهطور جدی لطمه زده و کشور را از نیروی انسانی خویش تهی کرده است.
در غیاب نیروی متخصصی که توانایی تحلیل رفتارهای پیچیده مهاجمان و مدیریت بحران در زمان وقوع حملات را داشته باشد، سامانههای دفاعی بانکها به صورت دستی و با خطاهای زیاد اداره میشوند که نتیجه آن، استمرار دوهفتهای آثار مخرب یک حمله سایبری است.
بحران سایبری خرداد و تیر ۱۴۰۵ به وضوح ناقض فرضیه پایداری سیستمها در بستر انزوا شبکه بود. سیاستهای فیلترینگ نه تنها به عنوان مانعی در برابر نفوذ هکرها عمل نکردند، بلکه با فرسوده کردن سختافزارها، آلوده کردن کلاینتهای داخلی و مسموم کردن زنجیره تأمین نرمافزار، تابآوری شبکه بانکی را از درون نابود کردند.
برای ارتقای پایداری ملی و جلوگیری از فجایع آتی، ضروری است که سیاستهای فیلترینگ بازنگری و زیرساختهای ارتباطی بهینهسازی گردند، مداخلات پردازشی سنگین در لبه شبکه متوقف شوند و استاندارد آدرسدهی IPv6 برای کاهش تراکم جداول مسیریابی و ایجاد ثبات در تراکنشها احیا شود.
تداوم دسترسی به دکترینهای منسوخ فیلترینگ و انزوا، شبکه مالی کشور را در برابر تهدیدات سایبری آتی به شدت آسیبپذیر ساخته و بستر مناسبی برای وقوع فروپاشیهای سیستماتیک و ویرانگر فراهم خواهد کرد. / خبرآنلاین



