باج سه‌میلیون دلاری توسن در جیب IRLeaks

چند روزی است که این خبر در صدر اخبار امنیت سایبری کشور قرار گرفته است: «پولتیکو به نقل از منابع مطلع مدعی شد که هکرهای گروه آی‌آرلیکس (IRLeaks)، بیست بانک ایرانی را هک کردند و برای منتشر نکردن اطلاعات مشتریان بانک‌ها، سه میلیون دلار باج گرفتند.

به گزارش افتانا، بر اساس گزارش پولتیکو حمله سایبری ماه گذشته که تهدیدی برای ثبات سیستم بانکداری ایران بود موجب شد که شرکت توسن، تامین‌کننده خدمات الکترونیکی بانک‌های ایران، میلیون‌ها دلار باج به هکرها پرداخت کند تا اطلاعات بانکی مردم را در وب تاریک به فروش نرسانند. پولتیکو مدعی شد که توسن تحت فشار دولت دست‌کم سه میلیون دلار به عنوان باج پرداخت کرد تا از انتشار داده‌های ۲۰ بانک ایران و اطلاعات حساب میلیون‌ها ایرانی جلوگیری کند.

بنابر ادعای پولتیکو، این بدترین حمله سایبری به بانک‌های کشور به‌شمار می‌رود و گروه آی‌آرلیکس (IRLeaks) که سابقه هک بانک‌های ایران را دارد، احتمالا پشت این حمله قرار دارد. این گروه هکری در ماه دسامبر نیز اطلاعات بیش از ۲۰ شرکت بیمه و اسنپ‌فود را هک کرده بود. مقامات می‌گویند هکرها در این ماجراها هم از شرکت‌ها پول گرفته‌بودند، اما این مبالغ بسیار کمتر از باجی بود که بابت هک سیستم بانکی دریافت کردند. هکرها تهدید کرده بودند اگر ۱۰ میلیون دلار رمزارز دریافت نکنند داده‌ها، شامل اطلاعات حساب و کارت اعتباری میلیون‌ها ایرانی را در وب تاریک به فروش می‌گذارند اما براساس این گزارش، درنهایت توافق بر سر میزان کمتری باج به هکرها به نتیجه می‌رسد.

این گروه هکری از طریق شرکت «توسن» که خدمات دیجیتال خود را به بخش مالی ایران ارائه می‌کند، وارد سرورهای بانک‌ها شدند. آنها از توسن به عنوان اسب تروا (Trojan horse) استفاده کرده و اطلاعات بانک‌های خصوصی و دولتی را استخراج کردند. از ۲۹ موسسه مالی فعال، ۲۰ بانک هدف حمله قرار گرفتند. در بین این بانک‌ها نام بانک توسعه و معادن، بانک مهر، پست‌بانک ایران، بانک ایران زمین، بانک سرمایه، بانک ایران ونزوئلا، بانک دی، بانک شهر، اقتصاد نوین، بانک سامان و شعبه‌هایی در ایتالیا و آلمان به چشم می‌خورد.

پولتیکو می‌نویسد، آنچه روشن نیست این است که آیا هکرها از طریق توسن که پایگاه مشتری گسترده‌ای دارد به دیگر بخش‌ها در ایران نیز حمله کرده‌اند یا خیر.

از طرفی گفته می‌شود که طی هفته اخیر مدیران توسن چندبار برای پاسخگویی و ارائه توضیحات به نهادهای مرجع فراخوانده شدند. همچنین برخی شنیده‌ها حاکی از این است که مدیر امنیت بانک مرکزی نیز چندروزی در دفتر کار خود حاضر نشد.

کارشناسان چه می‌گویند
به گفته میلاد چراغی، کارشناس امنیت سایبری این تازه شروع ماجراست... .کاری که توسن انجام داده چراغ سبزی برای تمام هکرهای دنیاست.... زمانی که شما باج می‌دهید باید تمهیداتی در پیش بگیرید که مجددا از یک سوراخ دوبار گزیده نشوید. این سه میلیون دلار باج در واقع همان هزینه‌ای بود که از جذب و آموزش نیروی متخصص، دریغ کردید. همان‌طور که نیروی زمینی متخصص و کارکشته، ستون فقرات امنیت فیزیکی کشور ست به همان میزان در حوزه امنیت سایبر، نیروی متخصص و با تجربه، ستون فقرات حوزه سایبر را تشکیل می‌دهد. متأسفانه مسئله حاد و جدی در جامعه سایبری ایران، فارغ از بحث مدیریتی، صحبت فریم‌ورک و استاندارد در حوزه دفاع در عمق نیست! بحث بر سر نیروی فنی کار بلد است.

رسول لطفی، متخصص امنیت سایبری، نیز این‌گونه توضیح داد: این حادثه بر اهمیت حیاتی اما اغلب نادیده گرفته‌شده امنیت سایبری تأکید می‌کند. حمله‌ای که بنابر به گزارش‌ها، توسط گروه هکری IRLeaks انجام شده؛ گروهی که سابقه هدف قرار دادن شرکت‌های ایرانی را دارد کل تیپ زدن‌ و کلاس گذاشتن‌های مدیریتی فناوری و دم زدن از امنیت سایبری را زیر سوال برد! امنیت نباید اختیاری باشد و نباید به دست مدیرانی سپرده شود که فاقد درک فنی یا بینش لازم برای اولویت‌بندی آن هستند. امنیت سایبری تنها یک مسئله فنی نیست؛ بلکه یک مسئله حاکمیتی، یک موضوع امنیت ملی و یکی از ارکان اصلی پایداری هر سازمان مدرن و سکیوریتیزم یک مکتب است. این حوزه، فضایی برای کاهلی و برای مدیرانی که پیچیدگی‌های عصر دیجیتال را درک نمی‌کنند، نیست. رهبران فنی در بخش‌های کلیدی باید با دانش و بینش و لازم برای محافظت از سیستم‌های خود در برابر تهدیدهای در حال تحول تجهیز شوند. امنیت سایبری باید نه به‌عنوان یک مرکز هزینه، بلکه به‌عنوان سرمایه‌گذاری در تاب‌آوری و تداوم عملیات در نظر گرفته شود.

علی کیایی‌فر، کارشناس امنیت سایبری در کانال تلگرامی پینگ چنل درباره حملات زنجیره تأمین (Supply Chain Attacks) و ماجرای ادعای حمله اخیر به شبکه بانکی نوشت: فرض کنید یک هکر بخواهد سازمان شما را هک کند، اما معماری امنیتی سازمان شما به گونه‌ای است که نفوذ مستقیم به آن بسیار سخت و تقریبا غیرممکن است. در اینجا هکر ناامید نشده و یکی از تامین‌کنندگان نرم‌افزاری شما را شناسایی و هک می‌کند. سپس کدهای مخرب و Backdoor را در محصولات نرم افزاری آن شرکت جاسازی می کند. وقتی که نسخه جدید نرم‌افزاری را که خریداری کرده‌اید در سازمان نصب می‌کنید درِ پشتی به سادگی در سازمان شما نصب شده و درها بر روی هکر باز می‌شود.

به گفته او در ادعای حمله اخیر صورت گرفته به بانک‌های کشور، سناریو به این صورت می‌تواند باشد که شرکت توسن به عنوان یک شرکت تامین‌کننده نرم‌افزار بانکی توسط هکرها شناسایی می‌شود. چارچوب‌های امنیتی شرکت‌های تامین‌کننده غالبا به اندازه بانک‌ها نیست و نفوذ به آنها به مراتب ساده‌تر است. هکرها به شرکت تامین‌کننده نفوذ می‌کنند و Backdoorها را نصب کرده و سپس به طعمه‌های اصلی (بانک‌ها و سازمانه‌ای بزرگ‌تر) نفوذ می‌کنند. متاسفانه حملات Supply Chain به دلیل استفاده از تأمین‌کنندگان معتبر و مورد اعتماد، معمولاً در سازمان‌های قربانی بسیار دیر شناسایی می‌شوند. ارزیابی و انتخاب دقیق تأمین‌کنندگان و نظارت بر زنجیره تأمین و ایجاد فرایندهایی برای اعتبارسنجی به‌روزرسانی‌ها می تواند تا حد زیادی این نوع حملات را کاهش دهد. متاسفانه در اغلب بانک‌های کشور، نرم افزارهای Core Banking به‌طور کامل به تعداد محدودی شرکت Out Source شده‌اند درحالی‌که تیم IT و امنیت بانک هیچ‌گونه دخل و تصرف و حتی نظارت مناسبی بر مسائل امنیتی محصولات ندارند. به گفته او، حمله Supply Chain اخیر می‌توانسته از یک آسیب‌پذیری مثل این صورت گرفته باشد. درحالی که ما تمام توان‌مان را برای اعمال محدودیت‌های فراوان در واردات و استفاده از تجهیزات خارجی منعطف کرده‌ایم و درگیر مجوزهای لیست سیاه و لیست سفید شده‌ایم و همزمان داریم از نقطه‌ای ضربات سنگینی را می‌خوریم که به فرایندها و رویه های جاری غلط و ضعف نیروی انسانی در حوزه امنیت مرتبط است و ربطی به تجهیزات ندارد. مهمترین پیش نیاز برای بالا بردن امنیت سازمان‌ها و زیرساخت‌های حیاتی این است که زانو را از گلوی اندک شرکت‌های امنیتی فعال و متخصصان این حوزه برداریم و اجازه دهیم در این مملکت کار کنند و کمتر به فکر مهاجرت باشند. برای متخصصان حوزه امنیت ارزش و احترام قائل شویم. با بخش‌نامه‌های پی در پی و محدود کننده، فضای ناامید کننده را در جامعه امنیت کشور بازتاب ندهیم. برای انتخاب و تشخیص و تخصص متخصصان این حوزه ارزش قائل شویم و پشت درهای بسته تصمیمات فنی نگیریم و حوزه امنیت سایبری کشور را امنیتی نکنیم و اجازه دهیم تا افکار و ایده‌ها و سلایق مختلف، شکوفا شود.

دسترسی آسان به اطلاعات ایرانی‌ها!
به نظر می‌رسد این‌روزها هکرها به آسانی به اطلاعات ما ایرانی‌ها می‌رسند؛ از یک اپلیکیشن غذایی گرفته تا یک پلتفرم بانکی. آیا آینده مشخص خواهد کرد که پرداخت باج به هکرهایی که ظاهرا به بانک و بیمه هم نفوذ کرده‌اند، بهترین تصمیم بوده‌است یا فقط باعث می‌شود پلتفرم‌های پرکاربرد و متاسفانه نفوذپذیر ما به بهشت تبهکاران و باج‌گیرهای سایبری تبدیل شود و شاهد روزهای بدتری در آینده باشیم. آیا با باج دادن به گزینه‌ای جذاب برای هکرها و حملات باج افزاری آنها تبدیل می‌شویم؟ آیا زمانی که یک نشت اطلاعات یا حمله باج‌افزاری در چنین سطحی اتفاق می‌افتد که حتی ممکن است دسترسی‌های شهروندان به خدماتی که به‌صورت روزمره دریافت می‌کنند (مانند دستگاه‌های خودپرداز و سایر خدمات الکترونیکی بانکی و...) تحت تاثیر قرار بگیرد پنهان‌کاری، توضیح ندادن و سکوت اختیار کردن راه به جایی می‌برد؟ چرا در چنین مواردی از شفافیت- دست‌کم تا جای ممکن و تا حدی که خدشه‌ای بر امنیت وارد نشود- خبری نیست؟