ورود | ثبت نام
درخواست دمو

پشتیبانِ ناایمن: چرا نظام بکاپ‌گیری در ایران هکرها را بی‌زحمت به نتیجه می‌رساند

در جدیدترین موج حملات سایبری، گروه گنجشک درنده (Predatory Sparrow) اعلام کرد که نه‌تنها پایگاه داده اصلی، بلکه مرکز پشتیبان و سایت بحران بانک سپه را «به‌طور کامل حذف» کرده است؛ حمله‌ای که به فاصله‌ای کوتاه، بانک پاسارگاد را نیز دچار اختلال گسترده کرد.

در یادداشت پیش رو، نگارنده به تحلیل فنی و تطبیقی حملات اخیر به بانک‌های سپه و پاسارگاد، ضعف‌های ساختاری در بکاپ‌گیری و پیشنهادهای عملیاتی بر پایه استانداردهای بین‌المللی و تجربیات موفق می‌پردازد. در این تحلیل، به اطلاعیه‌های رسمی منتشرشده توسط بانک‌ها و شرکت‌های وابسته مانند داتین نیز استناد شده است و نگاهی انتقادی و سازنده نسبت به ساختارهای فعلی بازیابی و تاب‌آوری داده در سازمان‌های حساس کشور ارائه می‌شود:

 
در جدیدترین موج حملات سایبری، گروه گنجشک درنده (Predatory Sparrow) اعلام کرد که نه‌تنها پایگاه داده اصلی، بلکه مرکز پشتیبان و سایت بحران بانک سپه را «به‌طور کامل حذف» کرده است؛ حمله‌ای که به فاصله‌ای کوتاه، بانک پاسارگاد را نیز دچار اختلال گسترده کرد.
 
با وجود صدور اطلاعیه‌هایی از سوی بانک مرکزی، جزئیات فنی همچنان شفاف نیست. پرسش جدی این است که اگر نسخه‌های آفلاین بکاپ موجود بودند، چرا بازگردانی خدمات روزها به طول انجامید؟ پاسخ، بازمی‌گردد به یک آسیب‌پذیری ساختاری مزمن در زیرساخت دیجیتال کشور: پشتیبان‌گیری متصل، ناکارآمد و بی‌ضابطه.
 
امنیت سایبری، از نقطه پشتیبان آغاز می‌شود؛ نسخه‌ای که به سیستم آلوده متصل است، «پشتیبان» نیست، بلکه کپیِ همان ضعف امنیتی است.
 
بررسی تطبیقی با نمونه جهانی: بانک کپیتال‌وان آمریکا
در حمله معروف به بانک Capital One در آمریکا (۲۰۱۹)، تنها یک تنظیم نادرست در فایروال برنامه‌های کاربردی (WAF)  کافی بود تا هکر بتواند به داده‌های ۱۰۶ میلیون متقاضی کارت اعتباری دسترسی پیدا کند. با این وجود، به‌واسطه وجود بکاپ‌های آفلاین، پاسخ‌گویی سریع، و رعایت ساختارهای امنیتی، از گسترش فاجعه جلوگیری شد.
اما بانک مجبور شد بابت نشت اطلاعات، بیش از ۱۵۰ میلیون دلار جریمه پرداخت کند. این اتفاق در نظام بانکی ایالات متحده منجر به بازنگری گسترده در سیاست‌های امنیت داده و الزام نهادهای مالی به رعایت استانداردهایی نظیر NIST، FFIEC و PCI DSS شد.
 
استانداردهای جهانی درباره بکاپ چه می‌گویند؟
NIST SP 800-34  (آمریکا): توصیه به نگهداری نسخه‌های ایزوله و تست دوره‌ای احیای داده برای کاهش زمان بازیابی (RTO)
ISO/IEC 27031  (ویرایش ۲۰۲۵): الزام به وجود نسخه‌های آفلاین، غیرقابل‌ویرایش و مقاوم در برابر حملات زنجیره‌ای
راهنمایFFIEC : پیاده‌سازی قانون «۳-۲-۱» (سه نسخه، دو رسانه مختلف، یک نسخه آفلاین خارج از شبکه)
 
واقعیت ایران: سه حلقه ضعیف و مشترک در حملات
بکاپ‌گیری متصل (Online Replication): نسخه پشتیبان در همان شبکه‌ای نگهداری می‌شود که سرور اصلی قرار دارد؛ بنابراین در صورت آلودگی، مهاجم می‌تواند هر دو را پاک کند.
 
استفاده از تجهیزات بدون لایسنس و نرم‌افزارهای دستکاری‌شده: بسیاری از تجهیزات مانند Cisco، FortiGate یا حتی آنتی‌ویروس‌ها بدون مجوز قانونی و بدون به‌روزرسانی در مراکز داده استفاده می‌شوند. این امر، دروازه‌ای باز به‌سوی بدافزارهای پیشرفته با بک‌دور است.
 
تست‌نکردن بازیابی واقعی: در بسیاری از سازمان‌ها، هیچ‌گاه فرآیند «بازیابی کامل» شبیه‌سازی نشده است. هنگام حادثه، هیچ‌کس نمی‌داند آخرین نسخه سالم کجا نگهداری می‌شود.
 
مطالعه موردی: حذف هم‌زمان سه مرکز حیاتی بانک سپه
در بیانیه گروه هکری، به صراحت آمده که بانک سپه «هیچ نسخه‌ای برای بازیابی در اختیار نداشت». این موضوع با تاخیر چندروزه در احیای سامانه‌های کارت و بانکداری آنلاین کاملاً هم‌راستا بود.
 
یادآوری مهم: بکاپ فقط زمانی ارزش دارد که از مسیر حمله «جدا» باشد. در بسیاری از سازمان‌های ایران، بکاپ دقیقاً در کنار هدف نگهداری می‌شود.
 
چرا هشدار «بکاپ متصل» جدی است؟
در ۷۵٪ از حملات باج‌افزاری سال ۲۰۲۴ در اروپا، مهاجمان نسخه‌های بکاپ را نیز رمزگذاری کرده‌اند.
نرم‌افزارهای آلوده و نصب‌شده از منابع غیررسمی، آلودگی را به سیستم‌های ذخیره‌سازی بکاپ نیز منتقل می‌کنند.
ابزارهای هک پیشرفته پیش از رمزگذاری، Snapshotها و Shadow Copy را حذف می‌کنند تا بازگردانی ممکن نباشد.
 
نسخه پیشنهادی برای مقابله
۱. اجرای قانون ۳-۲-۱-۱ با حداقل یک نسخه غیرقابل‌تغییر (Immutable) در محیط آفلاین
۲. تفکیک دسترسی؛ بکاپ نباید با دسترسی Domain Admin انجام شود
۳. استفاده از بکاپ‌های مقاوم (Resilient Snapshots) که پس از ثبت قفل می‌شوند
۴. تست بازیابی کامل دوبار در سال طبق بند D-1 استاندارد NIST 800-34
۵. الزام به گزارش عمومی رخداد در ۲۴ ساعت اول (مطابق استاندارد NIS2 اروپا)
 
اقدامات مکمل برای ایمنی بیشتر (فراتر از بکاپ)
راهکارهای XDR وZTNA : برای نظارت هوشمند، تحلیل رفتار و اعمال دسترسی مبتنی بر اعتماد صفر
جداسازی کامل شبکه‌ها: شبکه مالی، کاربران، بکاپ و اینترنت باید ایزوله شوند
وصله‌گذاری سریع: بسیاری از حملات از آسیب‌پذیری‌های وصله‌نشده جهانی استفاده کرده‌اند
استفاده از EDR هوشمند و نسل جدید: مانند محصولات Seqrite که بدون امضای ویروس، حمله را شناسایی می‌کنند
آموزش و تست فیشینگ: چون خطای انسانی در حملات اخیر نقش اصلی داشته است
داشتن تیم واکنش سریع (CSIRT) : با تمرین‌های منظم برای پاسخ به حادثه
 
تجربه موفق هند: پلتفرم امنیتی IB-CART 3.0

  • بانک مرکزی هند به کمک فناوری شرکت تکنولوژی های کوییک هیل، پلتفرم IB-CART 3.0 را برای زیرساخت‌های بانکی و بحران طراحی کرده است. ویژگی‌های این پلتفرم:
    نظارت پیوسته بر رفتار شبکه و کاربران (UBA/NTA)
    موتور تحلیل بدافزار و رفتار هوشمند مبتنی بر هوش مصنوعی
    ماژول تشخیص تهدید از زنجیره تامین (Supply Chain Threats)
    سیستم پاسخ سریع به رخداد و ایزوله‌سازی خودکار سیستم آلوده
    انطباق با استانداردهای NIST و مقررات امنیت ملی هند (RBI)

این راهکار در حملات APT سال‌های ۲۰۲۲ و ۲۰۲۳ موفق عمل کرده و اکنون به عنوان مدل ملی امنیت سایبری هند شناخته می‌شود.
 
نقاط ضعف شناسایی‌شده در ایران

  • نگاه تزئینی به امنیت (چک‌لیستی و حداقلی)
    استفاده از تجهیزات و نرم‌افزارهای غیرمجاز
    استفاده از تجهیزات بدون لایسنس و نرم‌افزار کرک‌شده
    فقدان تیم واکنش سریع و دستورالعمل مشخص
    پایش‌نشدن رفتار کاربران و سیستم‌ها
    به‌روزرسانی‌نشدن آسیب‌پذیری‌ها
    اعتماد بیش از حد به آنتی‌ویروس‌های سنتی و عدم استفاده از EDR هوشمند + Sandbox + Machine Learning Detection
    آموزش ناکافی کاربران در برابر مهندسی اجتماعی
    نبود ممیزی برای بکاپ و تست احیای داده‌ها

 
جمع‌بندی
اگرچه داتین نفوذ به سیستم‌های خود را رد می‌کند، اما اعلام «بازگشت خدمات» بدون توضیح فنی مستدل و اجرای تست بازیابی، نشانه‌ای واضح از ضعف ساختاری است.
 
در مقابل هزینه‌های سنگین اقتصادی، فنی و اعتباری این حملات، هزینه راه‌اندازی یک زیرساخت بکاپ امن، بسیار ناچیز است.
 
تا زمانی که استانداردهایی مانند NIST 800-34 و ISO 27031 الزام‌آور نشوند و فرهنگ «پیشگیری» جایگزین «واکنش دیرهنگام» نشود، نفوذ به زیرساخت‌های کشور، آسان باقی خواهد ماند.
 
در روزهایی که بکاپ‌های متصل، هدف آسان هکرها هستند، نباید منتظر معجزه بود. تنها یک تصمیم ساختاری و فناوری مؤثر، با همراهی نظارتی قوی و شفاف می‌تواند از وقوع حملات مشابه جلوگیری کند. در غیر این صورت، حمله «بعدی» نه یک احتمال، که یقینی حتمی خواهد بود.

منبع: افتانا