حمله «گنجشک درنده» از اسرائیل به بانک ها
ستاره صبح آنلاین: بیش از دو هفته است که پول های مردم در شبکه بانکی قفل شده است. شواهد فنی و مستندات امنیتی سال ۱۴۰۵ نشان می‌دهند که فیلترینگ خود به یکی از بزرگ‌ترین پیشران‌های تخریب زیرساخت و تسهیل حملات سایبری تبدیل شده است. پرسش اینجاست که بازار نجومی فیلترشکن فروش با درآمد نزدیک به 4 تریلیون میلیارد تومان چگونه به بانک های کشور نفوذ کرده و پای چه کسانی در میان است؟

حمله به شبکه بانکی

آنچه شبکه بانکی ایران را در حمله سایبری خرداد و تیر ۱۴۰۵ آسیب‌پذیر کرد، توان مهاجمان نبود بلکه بررسی‌های فنی نشان می‌دهد بخشی از این آسیب‌پذیری به سیاست‌هایی بازمی‌گردد که قرار بود امنیت شبکه را افزایش دهند، اما در عمل مسیر نفوذ را هموار کردند.

شبکه بانکی و پرداخت کشور در اواخر خرداد و ابتدای تیر ۱۴۰۵ با یکی از مخرب‌ترین و گسترده‌ترین اختلالات سیستمی مواجه است. این اختلالات که ناشی از یک حمله سایبری هماهنگ و چندمرحله‌ای به زیرساخت‌های حیاتی کشور بود، علاوه بر فلج کردن موقت تراکنش‌های خرد و کلان میلیون‌ها شهروند، زنگ خطر جدی را در خصوص میزان تاب‌آوری ساختاری کشور به صدا درآورد.

این بحران بانکی در قالب دو موج عملیاتی اصلی و پیاپی رخ داد که هسته خدماتی و پلتفرم‌های پرداخت کارت‌محور کشور را هدف گرفت.

روز شنبه ۲۳ خرداد ۱۴۰۵، گزارش‌های متعددی از سوی شهروندان مبنی بر قطع ناگهانی و کامل دسترسی به خدمات بانکی صادر شد. این اختلال گسترده، پلتفرم‌های همراه بانک، اینترنت بانک، خودپردازها (ATM) و پایانه‌های فروشگاهی (کارت‌خوان‌ها) را در چهار بانک بزرگ شامل بانک ملی، بانک صادرات، بانک تجارت و بانک توسعه صادرات به طور کامل از مدار خارج کرد.

معلق شدن خدمات بانکی

در پاسخ به این وضعیت اضطراری، شرکت خدمات انفورماتیک به عنوان هاب فنی و ارائه‌دهنده زیرساخت مشترک پرداخت به این بانک‌ها، تصمیم گرفت به منظور مهار دامنه نفوذ، جلوگیری از دسترسی‌های غیرمجاز و صیانت از اطلاعات حساس مالی مشتریان، ارائه خدمات پایه مبتنی بر کارت را در سراسر کشور به صورت موقت معلق کند. اگرچه در روزهای بعد بخشی از خدمات کارتی به صورت ناپایدار احیا شد، اما ریشه‌های نفوذ همچنان فعال باقی ماند.

موج دوم حملات

در حالی که تیم‌های تخصصی پدافند سایبری در حال تلاش برای بازگرداندن پایداری به شبکه بودند، موج دوم و شدیدتری از حملات در تاریخ ۲ تیر ۱۴۰۵ سیستم‌های هسته بانکی را نشانه رفت. این حمله بار دیگر خدمات کارت‌محور و تراکنش‌های آنلاین بانک‌های ملی و صادرات را به طور کامل متوقف کرد. فرماندهی سایبری کشور با صدور بیانیه‌ای رسمی، وقوع حمله سایبری هدفمند با هدف «اختلال سازمان‌یافته در خدمات عمومی» را تأیید کرد و هشدار داد که رفع کامل آثار تخریبی این حملات و بازگردانی پایدار سامانه‌ها ممکن است تا دو هفته به طول انجامد.

حمله گنجشک درنده

حملات سایبری دقیقاً در گرماگرم مذاکرات دیپلماتیک میان تهران و واشنگتن در سوئیس رخ داد. روزنامه تلگراف در گزارشی مستند فاش کرد که کارشناسان سایبری، گروه هکری خوش‌نام «گنجشک درنده» (Predatory Sparrow) را که به عنوان جبهه عملیاتی واحد ۸۲۰۰ ارتش اسرائیل و موساد شناخته می‌شود، عامل اصلی این حمله معرفی کرده‌اند. این عملیات سایبری مشترک با هدف مسدودسازی مسیرهای نقل‌وانتقال پول، به تعویق انداختن توان مالی ایران و ضربه مستقیم به تفاهم‌نامه صلح سوئیس طراحی و اجرا شد.

بانک مرکزی: اختلال بانک‌ها ادامه دارد

روز یکشنبه بانک مرکزی در اطلاعیه‌ای اعلام کرد از نخستین ساعات بروز اختلال، بررسی پیامدهای آن بر امور جاری مردم و فعالان اقتصادی را آغاز کرده و موضوعاتی مانند سررسید و وصول چک‌ها، تأخیر در بازپرداخت اقساط، جریمه دیرکرد تسهیلات، رتبه اعتباری مشتریان و وقفه در ارائه خدمات بانکی را با رویکرد حمایتی در دست بررسی قرار داده است. خدمات دو بانک ملی و صادرات بار دیگر با اختلال روبه‌رو شده است.

فیلترینگ، دروازه نفوذ هکرها

پدافند غیرعامل که فیلترینگ و انزوای شبکه را سدی دفاعی در برابر حملات سایبری قلمداد می‌کنند، شواهد فنی و مستندات امنیتی سال ۱۴۰۵ نشان می‌دهند که فیلترینگ خود به یکی از بزرگ‌ترین پیشران‌های تخریب زیرساخت و تسهیل حملات سایبری تبدیل شده است.

فیلترینگ باعث شده بخش قابل توجهی از کاربران و حتی کارشناسان فنی برای دسترسی به سرویس‌های ضروری، به استفاده دائمی از فیلترشکن‌ها و پروکسی‌های ناشناس وابسته شوند؛ ابزارهایی که بسیاری از آن‌ها از منابع نامعتبر توزیع شده و دسترسی گسترده‌ای به ترافیک اینترنت کاربران دارند. این وابستگی، سطح حمله (Attack Surface) را به‌طور قابل توجهی افزایش داده و امکان سرقت اطلاعات، رهگیری ارتباطات، تزریق بدافزار و اجرای حملات را برای مهاجمان فراهم می‌کند.

از سوی دیگر، ترافیک رمزگذاری‌شده و عبور داده‌ها از زنجیره‌ای از سرورهای واسط، فرایند پایش، تشخیص و واکنش سریع تیم‌های امنیتی را نیز دشوارتر می‌کند. در چنین شرایطی، فیلترینگ نه‌تنها مانعی در برابر مهاجمان ایجاد نمی‌کند، بلکه با گسترش استفاده از ابزارهای غیرقابل اعتماد، به عاملی برای افزایش ریسک نفوذ و کاهش دید عملیاتی مدافعان سایبری تبدیل می‌شود.

نفوذ

مهاجمان با استفاده از تکنیک‌های پیچیده، کتابخانه‌های نرم‌افزاری مخرب با نام‌هایی بسیار مشابه به پکیج‌های اصلی را در این نمونه‌های ناامن تزریق می‌کنند. از آنجا که پکیج‌های دانلودشده فاقد امضاهای دیجیتال معتبر و مراجع راستی‌آزمایی جهانی هستند، کدهای مخرب حاوی (Backdoors) مستقیماً به کدهای منبع پلتفرم‌های بانکی و همراه بانک‌ها راه می‌یابند. این نفوذها بدون جلب توجه سیستم‌های دفاعی، ماه‌ها در لایه‌های عمیق سیستم فعال می‌مانند تا در زمان مقرر، به عنوان مسیر ورود مهاجمان برای تخریب هسته پردازش بانکی مورد استفاده قرار گیرند.

نبود نیروهای متخصص

در غیاب نیروهای خبره‌ای که قادر به تحلیل رفتارهای پیچیده مهاجمان و مدیریت بحران در زمان حملات روز صفر باشند، سامانه‌های دفاعی بانک‌ها به صورت دستی و با خطاهای فاحش اداره می‌شوند که ثمره آن تداوم دوهفته‌ای آثار تخریبی یک حمله سایبری است.

تداوم اصرار بر دکترین‌های منسوخ فیلترینگ و انزوا، شبکه مالی کشور را در جنگ‌های سایبری آینده بیش از پیش بی‌دفاع کرده و بستر مناسبی را برای فروپاشی‌های سیستمی مخرب‌تر فراهم خواهد ساخت.