بررسیهای تیم راستیآزمایی ایراناینترنشنال نشان میدهد در پی حمله سایبری به بانک سپه در جریان جنگ ۱۲ روزه، دادههای میلیونها مشتری پاک و خدمات بانکی برای هفتهها مختل شد؛ اختلالی که امنیت اقتصادی جامعه را به گروگان گرفت و تا آخر شهریور نیز ادامه خواهد داشت.
از هک بانک سپه چه میدانیم؟
گروه هکری «گنجشک درنده» ۲۷ خرداد ۱۴۰۴ در چهارمین روز از جنگ ۱۲ روزه میان ایران و اسرائیل، با انتشار بیانیهای مسئولیت یک حمله سایبری گسترده به بانک سپه، یکی از قدیمیترین و مهمترین بانکهای دولتی ایران، را بر عهده گرفت و گفت: «هدف، تضعیف زیرساختهای مالی و نظامی است.»
خبرگزاری فارس، وابسته به سپاه پاسداران، حمله را تایید کرد و هشدار داد که به دلیل پشتیبانی بانک سپه از جایگاههای سوخت، ممکن است اختلالاتی در پمپبنزینها ایجاد شود.
«گنجشک درنده» از سال ۲۰۲۱ (۱۴۰۰) فعال است و خود را گروهی از هکرهای ایرانی مخالف رژیم معرفی میکند. رسانههای اسرائیلی و غربی آن را به دولت یا ارتش اسرائیل مرتبط میدانند اما اسرائیل این گزارشها را تایید نکرده است.
در این میان، گروه هکری «عدالت علی» ۳۱ خرداد با انتشار پستی در شبکه اجتماعی ایکس اعلام کرد که تمام دادههای بانک سپه، از جمله اطلاعات سپردهها و وامها، در جریان یک حمله سایبری حذف شده و مشتریان میتوانند ادعا کنند تراکنشهایشان ثبت نشده، چرا که بانک دیگر سندی برای اثبات آن ندارد.
این خبر موجی از نگرانی در میان مشتریان این بانک به همراه داشت و با توجه به ادامه اختلال در برخی سرویسهای بانکی هنوز هستند گروههایی از شهروندان که نسبت به سرنوشت داراییهای خود در این بانک با تردیدهای جدی مواجه شدهاند.
چرا بانک سپه؟
گروه هکری «گنجشک درنده» در بیانیه خود بانک سپه را به «دور زدن تحریمهای بینالمللی، تامین مالی تروریسم، حمایت از نیروهای نیابتی، برنامههای موشکی و پروژه هستهای نظامی رژیم» متهم کرد و نوشت: «این سرنوشت موسسهای است که وقف حفظ خیالپردازیهای تروریستی دیکتاتور میشود.»
بانک سپه پیش از این به دلیل «نقش کلیدی در تامین مالی پروژههای دفاعی و موشکی ایران» در فهرست تحریمهای آمریکا، اتحادیه اروپا و سازمان ملل قرار گرفته است.
بانکهای انصار، قوامین، حکمت ایرانیان، مهر اقتصاد و موسسه اعتباری کوثر که همگی به نهادهای نظامی ایران وابسته بودند در تاریخ ۱۱ اسفند ۱۳۹۷، در بانک سپه ادغام شدند.
حمله به بانک سپه چه خساراتی در پی داشت؟
هکرها اعلام کردند که در یک عملیات سایبری، تمام دادههای بانک سپه، شامل اطلاعات سپردهها، وامها، تراکنشها و سوابق مشتریان را نابود کردهاند.
بررسیهای ایراناینترنشنال از گزارشهای منتشر شده در شبکههای اجتماعی از زمان حمله سایبری به بانک سپه تاکنون نشان میدهد از ساعتی پس از این حمله سایبری، اپلیکیشنهای بانکی، درگاههای پرداخت الکترونیک، و دستگاههای خودپرداز بانک سپه از کار افتادهاند.
همچنین کارتهای بانکی وابسته به سپه مانند کارتهای بانکهای انصار و کوثر نیز غیرفعال شدند و موجودی حسابها، صفر نمایش داده میشد.
این بررسیهای نشان میدهد در همان روزهای ابتدایی پس از هک، بسیاری از مشتریان این بانک حسابهایشان مسدود شده یا مبالغی به صورت غیرمجاز از حسابهایشان کسر شده است.
برای مثال، کاربری شش تیر گزارش داد که بانک سپه مبالغی مانند ۴۰۰ هزار تومان از حسابهایی با موجودی محدود (مثلاً ۷۰۰ هزار تومان) برداشت کرده و مدعی شده این مبالغ به حساب دیگری منتقل شده، در حالی که چنین حسابی وجود نداشته است.
کاربر دیگری نوشت که شش میلیون تومان به صورت غیرقانونی از حسابش برداشت شده است.
یک کاربر هم نوشت: «بانک سپه پیام داده که ۱۳۸ هزار تومان از حسابت کم شد چون چند روز پیش برای رفاه حالت به حساب دیگه تو انتقال داده بودیم.»
یکی از شهروندان نوشته بود: «از بانک سپه پیامک واریز پول اومده موجودی هم زده +۲۰ میلیون. بعد من اصلا حساب سپه ندارم.»
مشکلات دسترسی به سپردهها نیز یکی دیگر از شکایات اصلی مشتریان بود. کاربری دوم تیر نوشت: «حساب بانک سپه من الان ۱۵ روزه مسدوده. شما حسابهای هک شده رو نمیتونین برگردونید، اونوقت میخواین بجنگین؟».
چه بلایی بر سر دادههای بانک سپه آمد
اقتصاد آنلاین یک روز پس از این حمله در گزارشی نوشت: «مهاجمان با بهرهگیری از ضعف امنیتی در پورتهای مدیریتی ILO سرورهای HP وارد شبکههای حیاتی بانک سپه شدهاند. این پورتها که بهطور پیشفرض نباید به اینترنت متصل باشند، به دلیل سهلانگاری یا دسترسی تعمدی داخلی به بیرون باز بودهاند.»
بر اساس این گزارش مهاجمان توانستند کنترل کامل زیرساخت بانک را به دست گیرند، حتی پس از تلاش برای ریستور کردن نسخه پشتیبان، سیستمها مجددا آلوده شدند و در نهایت، تصمیم گرفته شد که تمام سیستمها و سرورها (حدود ۳۰۰ تا ۴۰۰ سرور )از صفر مجددا نصب و پیکربندی شوند.
وبسایت زومیت ۲۸ تیر با اشاره به یادداشتی از حمیدرضا آموزگار، معاون توسعه محصول داتین که مسئولیت امنیت سایبری بانک سپه را تا پیش از این حمله برعهده داشت ابعاد حمله را این گونه شرح داد: «نه فقط سرورها بلکه سایت پشتیبان آنها هم در دسترس نبود. وقتی میگویند استوریج نیست شبیه به این است که دستگاه خانگی شما هارد دیسک و حتی سیستم عامل هم ندارد.»
به گفته آموزگار پس از این حمله، همه چیز شبیه «خلا» بود و از بین رفتن دادههای سرورها باعث شد تا بانک مجبور به استفاده از بکاپهای سرد (Cold Backup) شود؛ دادههایی که خارج از سایت نگهداری شده و چند روز عقبتر از زمان جاری بودند.
مراجعه به بکاپهای سرد، برای بانکی که به گفته مدیران آن «ماهانه حدود ١ میلیارد گردش مالی در آن رخ میدهد»، به معنی «گم شدن ۳۰ میلیون گردش به ازای هر روز» است.
زومیت ۱۴ مرداد به نقل از یک کارمند بانک سپه در گزارشی نوشت: «۴۸ روز پس از این حمله، کاربران بانک سپه میگویند بسیاری از خدمات این بانک به روال قبل انجام میشود اما بعضی از آنها هنوز با اختلال روبهروست. برای مثال، روز گذشته گزینه پرداخت تسهیلات ازدواج به اپلیکیشن جدید بانک سپه برگشت.»
زومیت در ادامه گزارش خود نوشت: «شنیدهها حاکی از این است که بانک سپه تا اواخر شهریور ماه فعالیتهای عادی خود را از سر خواهد گرفت.»
بر اساس این گزارش بانک سپه در برهه جنگ «بابت مغایرتگیری» مبالغی را از برخی حسابها کسر کرده بود و حالا وعده بازگشت آنها را داده است.
سابقه هک بانک سپه
حمله سایبری ۲۷ خرداد به بانک سپه آنچنان گسترده و سهمگین بود که بسیاری فراموش کردند این بانک در فروردین ۱۴۰۴ نیز هدف یک حمله دیگر واقع شده بود.
گروه هکری «کدبریکرز» شش فروردین اعلام کرد به اطلاعات مالی بیش از ۴۲ میلیون کاربر، شامل بیش از ۱۲ ترابایت دادههای محرمانه بانک سپه، از جمله اطلاعات حسابهای بانکی، رمزهای عبور، سوابق تراکنشها، آدرسها و دادههای پرسنل نظامی دست یافته است.
بانک سپه ابتدا خبرها در این زمینه را رد کرد و با غیر قابل نفوذ خواندن سیستمهای بانکداری خود به افراد و رسانهها نسبت به بازنشر اطلاعات مربوط به این بانک هشدار داد.
این گروه در بیانیهای نوشت که در ازای عدم افشای اطلاعات، ۴۲ میلیون دلار بیتکوین درخواست کرده اما بانک از پرداخت آن خودداری کرده است.
محمدامین آقامیری، دبیر شورای عالی فضای مجازی ۲۸ فروردین با حضور در یک برنامه خبری در صداوسیمای ملی با اعلام اینکه بانک سپه هک نشده است گفت: «چند روز پس از اعلام خبر حمله، مشخص شد که اتفاق اخیر هک نبوده، بلکه سرقت داده بوده است.»
مقامات جمهوری اسلامی تا این لحظه توضیحی در مورد نحوه وقوع این سرقت ارائه ندادهاند.
پس از این انکار، گروه هکری بخشی از دادهها را منتشر کرد. در میان اطلاعات منتشر شده، حسابهای بانکی مقامات نظامی و غیرنظامی با مبالغ میلیاردی وجود داشت.
نامهایی مانند حسن پلارک، فرمانده سابق نیروی قدس، با حسابی به ارزش ۶۳۴ میلیارد تومان و عباس گلمحمدی، مقام پیشین در حوزه زمینشناسی، با حساب ۷۶۸ میلیارد تومانی در این لیست دیده میشوند. همچنین اطلاعات بانکی علیرضا آرش، عضو هیئتمدیره شرکت هنکل پاکوش، با دارایی ۴۰۸ میلیارد تومان و دیگر افراد برجسته نیز منتشر شده است.
چرا هک بانک سپه مهم شد؟
پس از افشای ۱۲ ترابایت دادههای محرمانه بانک سپه از سوی گروه هکری «کدبریکرز» جمعه ۲۲ فروردین ۱۴۰۰ گروه هکری «شدوبیتس» (ShadowBits) از هک سامانههای همراه اول خبر داد و گفت اطلاعات ۳۰ میلیون از مشترکان این اپراتور (از مجموع حدود ۶۰ میلیون سیمکارت فعال) را به سرقت برده است.
با آغاز جنگ و کشته شدن جمع گستردهای از کلیدیترین فرماندهان سپاه و شخصیتهای نظامی و امنیتی کشور و هک بانک سپه، این سناریو که اسرائیل از دادههای هکهای بانکی و شبکه موبایل برای ردیابی شخصیتهای نظامی استفاده کرده قوت بیشتری گرفت.
محمدجواد آذری جهرمی، وزیر ارتباطات دولت روحانی ۲۴ تیر اعلام کرد: «سازمانی مثل هدفمندی یارانهها اطلاعات جزئی تمام مردم را در این سازمان جمع کرده، سرداران نظامی ما که شهید شدند در بانک حساب داشتند و برای گرفتن حقوق ماهیانه باید با یک کد پستی و تلفن همراه به نام خودشان ثبت نام میکردند، خوب مشخص است نفوذ و لو رفتن اطلاعات چقدر ساده انجام شده است، خوب معلوم است با دسترسی دشمن به اطلاعات این سازمان نفوذ گسترده اتفاق میافتد.»
