پرونده سه‌ساله حملات سایبری علیه بانک‌های ایران؛ از نفوذ به کربنکینگ تا حمله به زیرساخت‌ها

عصر ایران جمعه 12 تیر 1405 - 13:11

بررسی رخدادهای مرتبط با حملات سایبری در صنعت بانکداری ایران طی سه سال گذشته نشان می‌دهد که الگوی این حملات از نشت اطلاعات و باج‌گیری به سمت حمله به زیرساخت‌های عملیاتی و اختلال در ارائه خدمات بانکی تغییر کرده است؛ روندی که اهمیت تاب‌آوری عملیاتی، برنامه‌های تداوم کسب‌وکار و توان بازیابی سریع خدمات را بیش از گذشته در کانون توجه قرار داده است.

به گزارش سیتنا، در سه سال گذشته، صنعت بانکداری ایران یکی از پرتنش‌ترین دوره‌های امنیت سایبری خود را تجربه کرده است. آنچه ابتدا با نفوذ به زنجیره تأمین نرم‌افزارهای بانکی و باجگیری آغاز شد، به مرور به حملات مخرب علیه سامانه‌های عملیاتی بانک‌ها و در نهایت حمله به زیرساخت‌های مشترک بانکی رسید.

بررسی رخدادهای این دوره نشان می‌دهد که هدف مهاجمان دیگر صرفاً دسترسی به داده‌های محرمانه یا اخاذی مالی نبوده، بلکه ایجاد اختلال در تداوم کسب‌وکار بانک‌ها و کاهش تاب‌آوری زیرساخت‌های مالی نیز به یکی از اهداف اصلی تبدیل شده است.

شهریور ۱۴۰۳؛ هک کربنکینگ توسن و دسترسی به داده‌های ۱۴ بانک

نخستین زنگ خطر جدی در شهریور ۱۴۰۳ به صدا درآمد؛ زمانی که گروه هکری IRLeaks مدعی نفوذ به کربنکینگ (سامانه بانکداری متمرکز) شرکت توسن، یکی از تأمین‌کنندگان نرم‌افزار بانکداری کشور شد. مهاجمان اعلام کردند به اطلاعات مربوط به حدود ۱۰ بانک مشتری این شرکت دست یافته‌اند و بخشی از داده‌ها را منتشر کردند.

پس از این رخداد، ایمیلی منتشر شد که نشان می‌داد مدیرعامل این شرکت توافقی با مهاجمان انجام داده و در ازای پس گرفتن داده‌ها، ۳۴ بیت‌کوین باج داده است.

پرونده سه‌ساله حملات سایبری علیه بانک‌های ایران؛ از نفوذ به کربنکینگ تا حمله به زیرساخت‌ها

فروردین ۱۴۰۴؛ ادعای نشت اطلاعات بانک سپه

چند ماه بعد، گروه Code Breakers مدعی شد به بیش از ۱۲ ترابایت اطلاعات بانک سپه شامل داده‌های حدود ۴۲ میلیون مشتری دسترسی پیدا کرده و این اطلاعات را برای فروش عرضه کرده است. همچنین ادعا شد که برای جلوگیری از انتشار اطلاعات، درخواست ۴۲ میلیون دلار باج مطرح شده است.

بانک سپه این ادعا را رد کرد و اعلام کرد: سامانه‌های بانک به اینترنت متصل نیستند و نفوذی رخ نداده است. با این حال، سید محمدامین آقامیری، رئیس مرکز ملی فضای مجازی بعد از مدتی نشت اطلاعات بانک سپه را تایید و به ایرنا گفت: «در رابطه با بانک سپه سرقت داده رخ داده و نه هک، سرقت داده به این معنا که بدون نفوذ خارجی و از راه‌های مختلف مثل افشای داخلی یا خطای انسانی و... داده‌ها نشت پیدا کرده و این موضوع، نشان‌دهنده عدم آسیب‌پذیری زیرساخت‌های فنی بانک سپه است و به نشت اطلاعات محدود می‌شود.»

خرداد ۱۴۰۴؛ حمله سایبری به بانک‌های پاسارگاد و سپه

هم‌زمان با آغاز درگیری نظامی ایران و رژیم صهیونیستی در جنگ ۱۲ روزه، حملات سایبری وارد مرحله‌ای متفاوت شد. گروه «گنجشک درنده (Predatory Sparrow) مسئولیت حمله به بانک سپه را برعهده گرفت و مدعی شد داده‌های این بانک را از بین برده است. هم‌زمان بانک پاسارگاد نیز با اختلال گسترده در خدمات مواجه شد.

در نتیجه این حملات، اینترنت‌بانک، همراه‌بانک، خودپردازها و خدمات پرداخت دو بانک برای ساعت‌ها و در برخی موارد چند روز از دسترس خارج شدند.

بعدها شرکت داتین که زیرساخت نرم‌افزاری این دو بانک را پشتیبانی می‌کرد، با انتشار بیانیه‌ای اعلام کرد که زیرساخت‌های سخت‌افزاری دو بانک کشور هدف یک حمله سایبری بزرگ و پیچیده قرار گرفت و تجهیزات ذخیره‌سازی داده (Storage) بانک‌ها آسیب بسیار جدی دیدند و غیرقابل استفاده شدند. ابعاد آسیب به زیرساخت‌های ذخیره‌سازی اطلاعات تحت مالکیت این دو بانک، به‌حدی بود که منجر به توقف کامل و ناگهانی خدمات بانکی شد.

در نتیجه این حمله هر دو بانک با سامانه‌های مدیریت بحران داتین با سرویس‌های اصلی، مجدداً فعال شدند. بعدتر بانک سپه اعلام کرد با تغییر تأمین‌کننده نرم‌افزار بانکداری از داتین به توسن، سرویس‌ها را تکمیل خواهد کرد. پاسارگاد ۱۰ روز پس از حمله اعلام کرد، همه خدمات به حالت قبل از حمله بازگشته، اما مشتریان بانک سپه تا مهر ماه همان سال (۴ ماه بعد از حمله) با مشکلاتی از جمله پرداخت اقساط و... مواجه بودند.

اسفند ۱۴۰۴؛ تکرار حملات به بانک ملی و بانک سپه

در جریان جنگ ۴۰ روزه، دامنه حملات به دو بانک ملی و بانک سپه برای بار دوم رسید و بخشی از خدمات بانکی این دو بانک از دسترس خارج شدند. این حملات هم‌زمان با افزایش تنش‌های سایبری میان ایران و اسرائیل رخ داد و نشان داد که زیرساخت‌های مالی به یکی از اهداف اصلی جنگ سایبری تبدیل شده‌اند.

در بانک ملی خدمات سامانه اینترنتی بام و برخی خدمات شعبه‌ای با اختلال مواجه شد. بانک ملی در لایه Core Banking دچار مشکل نشد، بلکه خدماتی که از طریق شرکت سداد زیرمجموعه بانک ملی ارایه می‌شد، با اختلال مواجه شدند.

اما در بانک سپه موضوع پیچیده‌تر بود. این بار نیز تمامی خدمات بانک متوقف شد و همه خدمات شعبه‌ای و کارتی حضوری و غیرحضوری مختل شد.

به گفته مدیرعامل توسن که عهده‌دار زیرساخت این بانک بود، هکرها از داخل شعبه بانک سپه به شبکه بانک دسترسی غیرمجاز پیدا کردند.

بررسی های سیتنا در شبکه‌های اجتماعی نشان می‌دهد که بانک سپه چندین بار در طول جنگ ۴۰ روزه مورد حمله قرار گرفته و بر اساس بررسی های میدانی خبرنگار سیتنا در آن دوره، عموم شعب این بانک هم در خدمت رسانی به مشترکان دچار اختلال بودند. اگرچه در طول این دوره چندین بار بانک سپه اعلام کرد خدمات برقرار شده، اما عملاً از ۱۹ اسفند تا نیمه فروردین اختلال‌های گسترده و قطعی‌های طولانی مدت، شائبه چندین بار هک را به ذهن متبادر می‌کند.

همچنین پس از حمله سایبری، در تاریخ ۲۰ اسفندماه ۱۴۰۴ دیتاسنتر بانک سپه مورد تهاجم هوایی دشمن آمریکایی - صهیونیستی قرار گرفت و در پی انفجار مرکز داده، تمامی تجهیزات سخت‌افزاری از بین رفت.

خرداد ۱۴۰۵؛ حمله هم‌زمان به چهار بانک بزرگ کشور

در تاریخ ۲۳ خرداد ۱۴۰۵ شورای هماهنگی بانک‌ها حمله سایبری به بانک‌های ملی، تجارت، صادرات و توسعه صادرات را تأیید کرد. شرکت خدمات انفورماتیک عهده‌دار زیرساخت نرم‌افزاری این چهار بانک بود و این حمله باعث اختلال در شعب، خدمات کارتی، اینترنت‌بانک، همراه‌بانک و خودپردازها شد.

هرچند مسئولان اعلام کردند که هیچ‌گونه دسترسی غیرمجاز به اطلاعات مشتریان یا حذف داده‌ها رخ نداده است، اما این حادثه نشان داد حملات سایبری به سمت هدف قرار دادن زیرساخت‌های مشترک صنعت بانکداری حرکت کرده‌اند؛ حملاتی که در صورت موفقیت، می‌توانند هم‌زمان چندین بانک را تحت تأثیر قرار دهند.

طبق اعلام شرکت خدمات انفورماتیک، پس از اختلال در سامانه‌های اصلی، با استفاده از سامانه جایگزین «هور» خدمات پایه بانکی در کمتر از چند ساعت به مدار سرویس‌دهی بازگشته و هم‌اکنون بانک‌ها از طریق این زیرساخت در حال ارائه خدمات هستند. 

مدیرعامل شرکت خدمات انفورماتیک اعلام کرد: از آن روز تاکنون چندین بار حمله سایبری رخ داده و حتی بعد از فعال‌سازی مجدد سامانه، دوباره حملاتی رخ داده و با گذشت نزدیک به ۳ هفته از بروز رخداد، همچنان سامانه‌ها به پایداری نرسیده اند.

تغییر معیارهای امنیت سایبری بانک‌ها

پرونده سه‌ساله حملات سایبری علیه بانک‌های ایران؛ از نفوذ به کربنکینگ تا حمله به زیرساخت‌ها

مرور این رخدادها از سوی سیتنا نشان می‌دهد که ارزیابی امنیت بانک‌ها دیگر صرفاً با شاخص‌هایی مانند محرمانگی اطلاعات یا جلوگیری از نشت داده‌ها ممکن نیست. امروز، تاب‌آوری عملیاتی، توان بازیابی سرویس‌ها و بازگشت سریع به مدار و داشتن برنامه‌های تداوم کسب‌وکار به اندازه امنیت اطلاعات، به یکی از معیارهای اصلی ارزیابی بلوغ امنیت سایبری بانک‌ها تبدیل شده است.

منبع خبر "عصر ایران" است و موتور جستجوگر خبر تیترآنلاین در قبال محتوای آن هیچ مسئولیتی ندارد. (ادامه)
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت تیترآنلاین مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویری است، مسئولیت نقض حقوق تصریح شده مولفان از قبیل تکثیر، اجرا و توزیع و یا هرگونه محتوای خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.