چگونه بانک سپه در جنگ ۱۲ روزه به خدمت اهداف امنیتی اسرائیل درآمد

ایران اینترنشنال: بررسی‌های تیم راستی‌‌آزمایی ایران‌اینترنشنال نشان می‌دهد در پی حمله سایبری به بانک سپه در جریان جنگ ۱۲ روزه، داده‌های میلیون‌ها مشتری پاک و خدمات بانکی برای هفته‌ها مختل شد؛ اختلالی که امنیت اقتصادی جامعه را به گروگان گرفت و تا آخر شهریور نیز ادامه خواهد داشت.

این بررسی‌ها نشان می‌دهد حوادث پیرامون بانک سپه از فروردین سال جاری تاکنون، بخش عمده‌ای از حمله سایبری گسترده و برنامه ریزی شده اسرائیل به جمهوری اسلامی در کنار دیگر سناریوهای جنگ ۱۲ روزه بوده است.
از هک بانک سپه چه می‌دانیم؟
گروه هکری «گنجشک درنده» ۲۷ خرداد ۱۴۰۴ در چهارمین روز از جنگ ۱۲ روزه میان ایران و اسرائیل، با انتشار بیانیه‌ای مسئولیت یک حمله سایبری گسترده به بانک سپه، یکی از قدیمی‌ترین و مهم‌ترین بانک‌های دولتی ایران، را بر عهده گرفت و گفت:‌ «هدف، تضعیف زیرساخت‌های مالی و نظامی است.»

خبرگزاری فارس، وابسته به سپاه پاسداران، حمله را تایید کرد و هشدار داد که به دلیل پشتیبانی بانک سپه از جایگاه‌های سوخت، ممکن است اختلالاتی در پمپ‌بنزین‌ها ایجاد شود.

«گنجشک درنده» از سال ۲۰۲۱ (۱۴۰۰) فعال است و خود را گروهی از هکرهای ایرانی مخالف رژیم معرفی می‌کند. رسانه‌های اسرائیلی و غربی آن را به دولت یا ارتش اسرائیل مرتبط می‌دانند اما اسرائیل این گزارش‌ها را تایید نکرده است.

در این میان، گروه هکری «عدالت علی» ۳۱ خرداد با انتشار پستی در شبکه اجتماعی ایکس اعلام کرد که تمام داده‌های بانک سپه، از جمله اطلاعات سپرده‌ها و وام‌ها، در جریان یک حمله سایبری حذف شده و مشتریان می‌توانند ادعا کنند تراکنش‌هایشان ثبت نشده، چرا که بانک دیگر سندی برای اثبات آن ندارد.

این خبر موجی از نگرانی در میان مشتریان این بانک به همراه داشت و با توجه به ادامه اختلال در برخی سرویس‌های بانکی هنوز هستند گروه‌هایی از شهروندان که نسبت به سرنوشت دارایی‌های خود در این بانک با تردید‌های جدی مواجه شده‌اند.
چرا بانک سپه؟
گروه هکری «گنجشک درنده» در بیانیه‌ خود بانک سپه را به «دور زدن تحریم‌های بین‌المللی، تامین مالی تروریسم، حمایت از نیروهای نیابتی، برنامه‌های موشکی و پروژه هسته‌ای نظامی رژیم» متهم کرد و نوشت: «این سرنوشت موسسه‌ای است که وقف حفظ خیال‌پردازی‌های تروریستی دیکتاتور می‌شود.»

بانک سپه پیش از این به دلیل «نقش کلیدی در تامین مالی پروژه‌های دفاعی و موشکی ایران» در فهرست تحریم‌های آمریکا، اتحادیه اروپا و سازمان ملل قرار گرفته است.

بانک‌های انصار، قوامین، حکمت ایرانیان، مهر اقتصاد و موسسه اعتباری کوثر که همگی به نهادهای نظامی ایران وابسته بودند در تاریخ ۱۱ اسفند ۱۳۹۷، در بانک سپه ادغام شدند.
حمله به بانک سپه چه خساراتی در پی داشت؟
هکرها اعلام کردند که در یک عملیات سایبری، تمام داده‌های بانک سپه، شامل اطلاعات سپرده‌ها، وام‌ها، تراکنش‌ها و سوابق مشتریان را نابود کرده‌اند.

بررسی‌های ایران‌اینترنشنال از گزارش‌های منتشر‌ شده در شبکه‌های اجتماعی از زمان حمله سایبری به بانک سپه تاکنون نشان می‌دهد از ساعتی پس از این حمله سایبری، اپلیکیشن‌های بانکی، درگاه‌های پرداخت الکترونیک، و دستگاه‌های خودپرداز بانک سپه از کار افتاده‌اند.

همچنین کارت‌های بانکی وابسته به سپه مانند کارت‌های بانک‌های انصار و کوثر نیز غیرفعال شدند و موجودی حساب‌ها، صفر نمایش داده می‌شد.

این بررسی‌های نشان می‌دهد در همان روزهای ابتدایی پس از هک، بسیاری از مشتریان این بانک حساب‌هایشان مسدود شده یا مبالغی به صورت غیرمجاز از حساب‌هایشان کسر شده است.

برای مثال، کاربری شش تیر گزارش داد که بانک سپه مبالغی مانند ۴۰۰ هزار تومان از حساب‌هایی با موجودی محدود (مثلاً ۷۰۰ هزار تومان) برداشت کرده و مدعی شده این مبالغ به حساب دیگری منتقل شده، در حالی که چنین حسابی وجود نداشته است.

کاربر دیگری نوشت که شش میلیون تومان به صورت غیرقانونی از حسابش برداشت شده است.

یک کاربر هم نوشت: «بانک سپه پیام داده که ۱۳۸ هزار تومان از حسابت کم شد چون چند روز پیش برای رفاه حالت به حساب دیگه‌ تو انتقال داده بودیم.»

یکی از شهروندان نوشته بود: «از بانک سپه پیامک واریز پول اومده موجودی هم زده +۲۰ میلیون. بعد من اصلا حساب سپه ندارم.»

مشکلات دسترسی به سپرده‌ها نیز یکی دیگر از شکایات اصلی مشتریان بود. کاربری دوم تیر نوشت: «حساب بانک سپه من الان ۱۵ روزه مسدوده. شما حساب‌های هک شده رو نمی‌تونین برگردونید، اونوقت می‌خواین بجنگین؟».
چه بلایی بر سر داده‌های بانک سپه آمد
اقتصاد آنلاین یک روز پس از این حمله در گزارشی نوشت: «مهاجمان با بهره‌گیری از ضعف امنیتی در پورت‌های مدیریتی ILO سرورهای HP وارد شبکه‌های حیاتی بانک سپه شده‌اند. این پورت‌ها که به‌طور پیش‌فرض نباید به اینترنت متصل باشند، به دلیل سهل‌انگاری یا دسترسی تعمدی داخلی به بیرون باز بوده‌اند.»

بر اساس این گزارش مهاجمان توانستند کنترل کامل زیرساخت بانک را به دست گیرند، حتی پس از تلاش برای ریستور کردن نسخه پشتیبان، سیستم‌ها مجددا آلوده شدند و در نهایت، تصمیم گرفته شد که تمام سیستم‌ها و سرورها (حدود ۳۰۰ تا ۴۰۰ سرور )از صفر مجددا نصب و پیکربندی شوند.

وب‌سایت زومیت ۲۸ تیر با اشاره به یادداشتی از حمیدرضا آموزگار، معاون توسعه محصول داتین که مسئولیت امنیت سایبری بانک سپه را تا پیش از این حمله برعهده داشت ابعاد حمله را این گونه شرح داد:‌ «نه فقط سرورها بلکه سایت پشتیبان آنها هم در دسترس نبود. وقتی می‌گویند استوریج نیست شبیه به این است که دستگاه خانگی شما هارد دیسک و حتی سیستم عامل هم ندارد.»

به گفته آموزگار پس از این حمله، همه چیز شبیه «خلا» بود و از بین رفتن داده‌های سرورها باعث شد تا بانک مجبور به استفاده از بکاپ‌های سرد (Cold Backup) شود؛ داده‌هایی که خارج از سایت نگهداری شده و چند روز عقب‌تر از زمان جاری بودند.

مراجعه به بکاپ‌های سرد، برای بانکی که به گفته مدیران آن «ماهانه حدود ١ میلیارد گردش مالی در آن رخ می‌دهد»، به معنی «گم شدن ۳۰ میلیون گردش به ازای هر روز» است.

زومیت ۱۴ مرداد به نقل از یک کارمند بانک سپه در گزارشی نوشت: «۴۸ روز پس از این حمله، کاربران بانک سپه می‌گویند بسیاری از خدمات این بانک به روال قبل انجام می‌شود اما بعضی از آن‌ها هنوز با اختلال روبه‌روست. برای مثال، روز گذشته گزینه پرداخت تسهیلات ازدواج به اپلیکیشن جدید بانک سپه برگشت.»

زومیت در ادامه گزارش خود نوشت: «شنیده‌ها حاکی از این است که بانک سپه تا اواخر شهریور ماه فعالیت‌های عادی خود را از سر خواهد گرفت.»

بر اساس این گزارش بانک سپه در برهه جنگ «بابت مغایرت‌گیری» مبالغی را از برخی حساب‌ها کسر کرده بود و حالا وعده بازگشت آن‌ها را داده است.سابقه هک بانک سپه
حمله سایبری ۲۷ خرداد به بانک سپه آنچنان گسترده و سهمگین بود که بسیاری فراموش کردند این بانک در فروردین ۱۴۰۴ نیز هدف یک حمله دیگر واقع شده بود.

گروه هکری «کدبریکرز» شش فروردین اعلام کرد به اطلاعات مالی بیش از ۴۲ میلیون کاربر، شامل بیش از ۱۲ ترابایت داده‌های محرمانه بانک سپه، از جمله اطلاعات حساب‌های بانکی، رمزهای عبور، سوابق تراکنش‌ها، آدرس‌ها و داده‌های پرسنل نظامی دست یافته است.

بانک سپه ابتدا خبرها در این زمینه را رد کرد و با غیر قابل نفوذ خواندن سیستم‌های بانکداری خود به افراد و رسانه‌ها نسبت به بازنشر اطلاعات مربوط به این بانک هشدار داد.

این گروه در بیانیه‌ای نوشت که در ازای عدم افشای اطلاعات، ۴۲ میلیون دلار بیت‌کوین درخواست کرده اما بانک از پرداخت آن خودداری کرده است.

محمدامین آقامیری، دبیر شورای عالی فضای مجازی ۲۸ فروردین با حضور در یک برنامه خبری در صداوسیمای ملی با اعلام اینکه بانک سپه هک نشده است گفت:‌ «چند روز پس از اعلام خبر حمله، مشخص شد که اتفاق اخیر هک نبوده، بلکه سرقت داده بوده است.»

مقامات جمهوری اسلامی تا این لحظه توضیحی در مورد نحوه وقوع این سرقت ارائه نداده‌اند.

پس از این انکار، گروه هکری بخشی از داده‌ها را منتشر کرد. در میان اطلاعات منتشر شده، حساب‌های بانکی مقامات نظامی و غیرنظامی با مبالغ میلیاردی وجود داشت.

نام‌هایی مانند حسن پلارک، فرمانده سابق نیروی قدس، با حسابی به ارزش ۶۳۴ میلیارد تومان و عباس گل‌محمدی، مقام پیشین در حوزه زمین‌شناسی، با حساب ۷۶۸ میلیارد تومانی در این لیست دیده می‌شوند. همچنین اطلاعات بانکی علیرضا آرش، عضو هیئت‌مدیره شرکت هنکل پاک‌وش، با دارایی ۴۰۸ میلیارد تومان و دیگر افراد برجسته نیز منتشر شده است.
چرا هک بانک سپه مهم شد؟
پس از افشای ۱۲ ترابایت داده‌های محرمانه بانک سپه از سوی گروه هکری «کدبریکرز» جمعه ۲۲ فروردین ۱۴۰۰ گروه هکری «شدوبیتس» (ShadowBits) از هک سامانه‌های همراه اول خبر داد و گفت اطلاعات ۳۰ میلیون از مشترکان این اپراتور (از مجموع حدود ۶۰ میلیون سیم‌کارت فعال) را به سرقت برده است.

با آغاز جنگ و کشته شدن جمع گسترده‌ای از کلیدی‌ترین فرماندهان سپاه و شخصیت‌های نظامی و امنیتی کشور و هک بانک سپه، این سناریو که اسرائیل از داده‌های هک‌های بانکی و شبکه موبایل برای ردیابی شخصیت‌های نظامی استفاده کرده قوت بیشتری گرفت.

محمدجواد آذری جهرمی، وزیر ارتباطات دولت روحانی ۲۴ تیر اعلام کرد: «سازمانی مثل هدفمندی یارانه‌ها اطلاعات جزئی تمام مردم را در این سازمان جمع کرده، سرداران نظامی ما که شهید شدند در بانک حساب داشتند و برای گرفتن حقوق ماهیانه باید با یک کد پستی و تلفن همراه به نام خودشان ثبت نام می‌کردند، خوب مشخص است نفوذ و لو رفتن اطلاعات چقدر ساده انجام شده است، خوب معلوم است با دسترسی دشمن به اطلاعات این سازمان نفوذ گسترده اتفاق می‌افتد.»