افتانا - جنگ روایت‌ها در حمله سایبری

ادعای نشت گسترده اطلاعات کاربران بانک سپه از سوی گروه هکری Codebreakers واکنش‌های زیادی را برانگیخته است. بانک سپه ضمن رد این ادعاها، تأکید دارد که سیستم‌هایش غیرقابل نفوذ هستند. اما تحلیلگران امنیتی معتقدند که چنین حملاتی می‌تواند از درون سازمان نیز رخ دهد. اما آیا این ماجرا تنها یک ادعا است یا یک بحران امنیتی جدی؟ آیا انکار مداوم، راه‌حل مناسبی برای بحران‌های امنیتی است؟ آیا زمان تغییر نگاه به امنیت سایبری فرا نرسیده است؟

به گزارش افتانا، روز گذشته گروه هکری ircodebreakers با بیان ادعای هک بزرگ‌ترین و قدیمی‌ترین بانک ایران، در کانال تلگرامی خود اعلام کرد: بیش از 12 ترابایت داده شامل میلیاردها رکورد دیتابیس اطلاعات مالی و هویتی و سکونتی 42 میلیون مشتری بانک سپه ایران از سال 1304 تا 1404 توسط این گروه، هک و آماده برای فروش شده است. آنها با انتشار نمونه کوچکی از اطلاعات نشت‌شده مشتریان بانک سپه، مدعی شدند که دیتابیس، حاوی اطاعات اشخاص عادی و نظامی پرسنل ستاد کل نیروهای مسلح، سپاه پاسداران ، نیروی انتظامی، وزارت دفاع و پشتیبانی ، پرسنل ارتش، نیروی مقاومت بسیج، صندوق بازنشستگی نیروهای مسلح ، پرسنل سازمان هوا و فضا، پرسنل سازمان انرژی اتمی به انضمام کلیه نهادها و شرکت‌های وابسته به هر سازمان است. آنها همچنین مدعی شدند که مهلت 72 ساعته این گروه به بانک سپه نیز به پایان رسیده‌است.

بانک سپه تکذیب کرد
ساعاتی بعد، روابط‌عمومی بانک سپه، ادعای هک شدن داده‌های این بانک را تکذیب کرد. رضا همدانچی، رئیس اداره کل روابط‌عمومی بانک سپه، ادعای هک شدن این بانک را تکذیب کرد و گفت: «این ادعا از اساس کذب است و سیستم‌های بانک سپه غیرقابل هک و نفوذ هستند.» به گفته او سیستم‌های این بانک ارتباطی به اینترنت ندارد و کاملاً بسته هستند. همدانچی افزود: «تاکنون هیچ‌گونه هک و نفوذی به سیستم‌های بانک سپه صورت نگرفته است. این ادعاهای کذب با هدف تشویش اذهان عمومی صورت می‌گیرد و مشتریان بانک سپه از این نظر خیال‌شان راحت باشد.»

Codebreakers در واکنش به این تکذیبیه مدیر روابط عمومی بانک سپه، که از نظر برخی متخصصان امنیت سایبری یک تکذیب ناشیانه و عجولانه بود، این‌گونه پاسخ دادند:
«مسئولین محترم بانک سپه
به نظر می‌رسد ترجیح می‌دهید این ماجرا را نادیده بگیرید !!
اگر امنیت مشتریان بانک برای شما اهمیت دارد بهتر است به جای تکذیب مذاکره کنید تا بدانید چه حجمی از داده‌های شما در اختیار ماست این به نفع شما و مشتریان شماست. این را نه به‌عنوان تهدید، بلکه به‌عنوان یک هشدار حرفه ای می‌گوئیم: اگر تا ۴۸ ساعت آینده وارد مذاکره نشوید، ناچار خواهیم شد حجم بیشتری از داده‌ها را در معرض دید عموم قرار دهیم (صدها هزار مشتری یا شاید بیشتر!) به دلیل تکذیب نشت اطلاعات به جای 20 هزار مشتری اطلاعات 80 هزار مشتری را منتشر می کنیم. فراموش نکنید هنوز 42 میلیون مشتری بکر داریم... . اینجا هیچ چیز شوخی نیست!»

این گروه هکری در ادامه با قرار دادن لینک آپلود فایل‌های Sampel در دارک‌وب اعلام کرد هرکس با این لینک و توسط مرورگر تور می‌تواند فایل‌های نمونه 80 هزار مشتری را دانلود کند. به عنوان آخرین توضیح تاکید کرد که: «ما دیتابیس هک‌شده رو فقط به‌صورت کامل و دامپ خام می‌فروشیم؛ فروش تکه‌تکه نداریم.پس پیام ندید. توی دارک‌وب مشتری‌های زیادی منتظرن و تقاضا بالاست، ولی اولویت اولمون توافق با مالک اصلی اطلاعاته. اگه توافقی نشه، آگهی رو توی مارکت‌های .onion می‌گذاریم و تمام. توجه کنید حجم دیتابیس ۱۲ ترابایته، شامل ده‌ها جدول با ساختار پیچیده. جوین کردن این جداول برای استخراج داده‌های معنادار—مثل اطلاعات مشتریان—یه پروسه سنگین و زمان‌بره. ما رو سرورهای آف‌شور خودمون محدودیت منابع داریم؛ فقط تونستیم بخشی از داده‌های کلیدی رو آماده کنیم. تخصص ما هک و فروش دیتای خامه نه پردازش کامل. برای راستی‌آزمایی، چند نمونه از جداول رو به هم لینک کردیم—مثلاً جدول مشتریان با حساب ها و تسهیلات و ... ولی بقیه‌ش با خریداره. ما فروشنده دیتای خامیم، نه مشاور ETL!»

آنها همچنین در واکنش به سخنان رضا همدانچی، رئیس اداره کل روابط‌عمومی بانک سپه، در پست دیگری در شبکه ‌اجتماعی خود با انتشار تصویری حاوی اطلاعات خریدهای حضوری و اینترنتی وی، نوشتند: «به دلیل اظهارنظر نادرست صرفا بخش کوچکی از اطلاعات ایشان منتشر شد. تمام تراکنش ها از درگاه‌های حضوری و اینترنتی به همراه مبلغ و تاریخ و ساعت خرید و نام فروشگاه و ... .»

کانال تلگرامی IACS این‌گونه نوشت که گروه هکری codebreakers روش نفوذ خود را به شرح زیر اعلام کرده است: «ما سایه‌های شبکۀ شما هستیم، سیستم (PAM) شما، با استفاده از Session Hijacking ساده فریب خورد و تونستیم به عنوان یک کاربر سطح روت (Root) در اونجا با خیال راحت فعالیت کنیم هرچند سناریو PAM Backdoor هم قابل اجرا بود. سیستم انتقال فایل SFTP شما به دلیل پیکربندی ضعیف تنظیمات Chroot با اجرای یک Directory Traversal Attack، به دایرکتوری روت سرور و فایل های موجود در آن دسترسی پیدا کردیم. از طریق بدافزار Malware RAT کنترل سرورای اصلی‌تون رو گرفتیم بعد از دسترسی اولیه با یه اسکریپت اختصاصی Rootkit رو روی دیتاورهاوس نصب کردیم تا کل ردپاها رو از SIEM و کل لاگ‌هامون رو پاک کنه.تا هیچ ردی ازمون نمونه ما حرفه‌ای هستیم، نه آماتورهای سرگردان.)»

صحبت‌های همدانچی را البته برخی اهالی امنیت سایبری در شبکه‌های اجتماعی و هرجا که گپ و گفتی در این مورد به میان آمده‌بود نیز به نقد کشیدند. هک کردن صرفا از روی اینترنت انجام نمی‌شود و میزان شناخت از فناوری اطلاعات در این سطوح در همین مواقع است که عیان می‌شود. این حجم اطلاعات سرقت شده فقط می‌تواند از طریق نشر اطلاعات و از داخل سازمان/ بانک انجام شود و لزومی به متصل بودن بانک به اینترنت ندارد.

با توجه به اهمیت حفاظت از اطلاعات بانکی و مالی، لزوم بازبینی در فرآیندهای امنیتی و نظارتی بیش از پیش احساس می‌شود. صاحب‌نظران پیشنهاد می‌کنند که بازنگری در سیاست‌های انتخاب شرکت‌های ارائه‌دهنده خدمات پرداخت و اجرای دقیق‌تر الزامات امنیتی، می‌تواند به کاهش مخاطرات در این حوزه کمک کند. برخی کارشناسان بر این باورند که عدم اجرای دقیق الزامات ماده ۱۶ و تأثیرپذیری از برخی لابی‌های اقتصادی، موجب شده تا شرکت‌هایی خاص در حوزه ارائه خدمات پرداخت الکترونیک (TSP) بدون برگزاری مناقصه و ارزیابی فنی، مسئولیت مدیریت داده‌های حساس را برعهده بگیرند. در این میان، شرکت «تیس» به‌عنوان ارائه‌دهنده انحصاری خدمات TSP بانک سپه معرفی شده است؛ امری که به‌گفته متخصصان، می‌تواند ریسک‌های امنیتی را افزایش دهد. مروری بر موارد مشابه در گذشته نشان می‌دهد که بانک‌هایی که پیش‌تر با نشت اطلاعات مواجه شده‌اند، از جمله بانک صادرات، نیز از خدمات همین شرکت در حوزه مالیاتی استفاده کرده‌اند. برخی کارشناسان معتقدند که این روند ممکن است چالش‌های امنیتی جدی برای داده‌های حساس کشور ایجاد کند.

و باز همان داستان همیشگی از هکرها اصرار و از سازمان‌های قربانی نفوذ، انکار! اما اطمینان‌بخشی‌های تکراری درباره امنیت اطلاعات، نه‌تنها نگرانی‌ها را برطرف نمی‌کند، بلکه شائبه عدم شفافیت را تقویت می‌کند. مواجهه کلیشه‌ای با نشت داده‌ها، اعتماد عمومی را خدشه‌دار کرده و ضرورت تغییر رویکرد در اطلاع‌رسانی را بیش از پیش آشکار می‌کند.

بیشتر بخوانید:
ما هک شدیم اما شما نگران نباشید

هیچ‌کس لزوم مقاومت در برابر باج‌گیری سایبری را انکار نمی‌کند، اما این‌که یک هک با چنین سرعت و اطمینانی رد شود، آن هم در دنیایی که اخبار و شایعات به‌شکل برق‌آسایی دست‌به‌دست می‌شوند، چیزی نیست که از نگاه افکار عمومی پنهان بماند و نیاز به توضیحی دارد که هنوز داده نشده است!