جزئیات فنی حمله سایبری به بانک پاسارگاد اعلام شد

در تابستان ۱۳۹۶ حملات سایبر به بانک پاسارگاد صورت گرفت که توسط سامانه امنیتی ابر بانکی داتین-آروان دفع شد.

به گزارش بانکینا، مجید قاسمی مدیرعامل بانک پاسارگاد در ابتدای این هفته در سومین کنفرانس ملی کارآفرینی درباره تهدید باجگیران سایبری و حملات شدیدی گفت که در تابستان متوجه این بانک شده بود و با توانایی شبکه امنیتی ابر بانکی داتین-آروان این خطر رفع شد. در حالی که به گفته دکتر قاسمی بسیاری بانک‌های دیگر یا این باج را پرداختند یا با اختلال روبرو شدند. «خبر را بخوانید»

اعلام خطر با ارسال نامه باجگیران به چندین بانک مهم کشور از جمله بانک پاسارگاد آغاز شد. در نامه ارسال شده اعلام شده بود این بانک‌ها تا چهارشنبه ۱۴ تیرماه فرصت دارند که با پرداخت ۱۰ بیت کوین از این حمله جلوگیری کنند و در غیر این صورت نه تنها حملات گسترده DDoS آغاز خواهد شد بلکه مبلغ باج هر ۲۴ ساعت دو برابر می‌شود، تا زمانی که بالاخره بانک‌ها تسلیم شوند.

در نامه‌ای که باج‌گیران فرستاده بودند تاکید شده بود حمله بسیار گسترده خواهد بود و در نتیجه راه‌کارهای عادی CDN و جلوگیری از حملات DDoS امکان مقابله با آن را نخواهد داشت.

از آنجا که حتی یک ساعت اختلال در عملکرد سامانه‌های اینترنتی یک بانک متضمن خسارات مادی و از آن مهم‌تر اعتباری زیادی برای بانک است، مسئولان بانک‌ بلافاصله کارگروهی را متشکل از مسئولان آی‌تی بانک، شرکت داتین به عنوان مسئول امنیت بانک پاسارگاد، و متخصصان امنیتی ابر آروان تشکیل دادند. پیش از آن، ابر آروان و داتین در همکاری با هم طرح شبکه توزیع محتوای بانکی و امنیت ابری را ریخته بودند و در نتیجه آماده ارائه خدمات به بانک بودند. با توجه به ظرفیت و توانایی فنی مقابله با این نوع حملات در شبکه ابر بانکی داتین-آروان به سرعت اقدامات تکمیلی در جهت افزایش آمادگی و مقابله با حمله‌ی احتمالی انجام گرفت.

موج اصلی حملات دو روز پس از پایان فرصت اعلام شده توسط هکرها و در روز جمعه ۱۶ تیرماه آغاز شد. مهاجمان دو نوع حمله ICMP و UDP با ظرفیت بالا را آزمودند. در مجموع ۴ حمله در روز جمعه با شدت و زمان متفاوت انجام شد. لازم به ذکر است تمامی حملات UDP به‌صورت IP Spoofing انجام شده است و آدرس IP مبدا مشخص نیست، اما اطلاعات حمله ICMP موجود است.

شدت حملات DDoS

۱– حمله اول که از نوع ICMP بود (ICMP Bandwidth Overflow) از مبداهای مختلفی در سراسر جهان به آدرس بانک (تحت پوشش ابر آروان) صورت گرفته است. بخش قابل توجه این حملات از کشورهای پرجمعیت و با اینترنت پهن‌باند یعنی چین، هند، و آمریکا صورت گرفت. تمامی این حملات در خارج از مرزهای ایران در پاپ‌سایت‌های مستقر در ایالات متحده و شرق آسیا و نیز اروپا دفع شد و به هیچ‌وجه وارد ترافیک کشوری نشد.

مبدا این حملات در نمودار زیر مشخص شده است:

۲– با ناکامی حمله اول، دومین حمله از نوع متفاوت UDP Protocol انجام گرفت که مبدا حمله به دلیل IP Spoofing نامعلوم بود. زمان این حمله نسبتا کوتاه بود و به راحتی دفع شد.

۳– حمله سوم بار دیگر با قدرت بیشتر و از نوع UDP Flood به آدرس‌های آی‌پی ابر آروان انجام گرفت که مبدا حمله باز هم نامعلوم بود. این حمله کمی طولانی‌تر بود ولی باز هم کاری از پیش نبرد.

۴- پس از آنکه حملات اولیه ناموفق ماند، با مشاهده اینکه سامانه بانک همچنان بدون اختلال به کار خود ادامه می‌دهد این بار حمله چهارم با تمام توان و با ارسال ۶۰ میلیون پکت بر ثانیه از نوع UDP Flood انجام گرفت. این حمله با آدرس‌های spoof شده و به مقصد آی‌پی شبکه توزیع محتوای بانکی (که بانک پاسارگاد بر آن بستر در حال ارائه خدمات بود) انجام شد. این حمله بزرگترین و آخرین حمله بود و به تمامی توسط سامانه امنیتی ابر بانکی داتین-آروان در بیرون از شبکه ایران خنثی و دفع شد.

شیوه مقابه با حملات DDoS

حملات منع سرویس توزیع شده یا DDoS حملاتی حجمی است که از تعداد زیادی دستگاه آلوده انجام می‌گیرد و عموما مبدا این حملات بیرون از ایران است. شبکه توزیع محتوای بانکی به شکلی طراحی شده که درخواست رسیده از هر نقطه‌ای به صورت خودکار به نزدیک‌ترین نقطه جغرافیایی در ابر هدایت می شود و از آنجا پاسخ داده می‌شود. در نتیجه ترافیک این حملات نیز در PoP Site ها یا نقاط دسترسی خارجی شبکه توزیع محتوا ظاهر می‌شود.

سامانه امنیت ابری طراحی شده توسط متخصصان ابر آروان با تشخیص حملات DDoS در پاپ‌سایت‌های خارجی خود در کشورهای مختلف جهان مانند ژاپن، سنگاپور، آلمان، فرانسه، هلند، انگلستان، و آمریکا ترافیک این حملات را در بیرون از ایران مسدود می‌کند و اجازه نمی‌دهد این ترافیک سنگین وارد شبکه ایران شود. در حالت عمومی و بدون استفاده از این سرویس و چنانچه این حملات خنثی نشود و وارد شبکه ایران شود، در موارد بسیار سنگین حتی قادر به اختلال در شبکه داخلی اینترنت ایران خواهد بود. اما حتی اگر این حملات از داخل ایران نیز شکل بگیرد، سامانه امنیت ابری با کمک پاپ‌سایت‌های متعدد شبکه توزیع محتوا در داخل ایران به راحتی قادر به خنثی‌سازی این حمله‌ها است.

سامانه ابر بانکی داتین-آروان در حال حاضر توانایی مقابله با حملات لایه ۳ و ۴ شبکه (مانند حملات صورت گرفته به بانک پاسارگاد) تا توان یک ترابیت بر ثانیه را دارد، و این توان و شبکه به راحتی قابل گسترش است.

علاوه بر حملات لایه ۳ و ۴، سامانه امنیت ابری قابلیت دفع حملات پیشرفته در لایه اپلیکیشن یا کاربرد را نیز دارد؛ حملاتی که توسط بات‌های هوشمند انجام می‌گیرد و سعی می‌کند به جای اشغال پهنای باند سرور، منابع داخلی آن را درگیر و اشغال کند. این سرویس در سه سطح دفاعی با سطوح مختلف هوشمندی این بات‌ها مقابله می‌کند. در سطح چالش عمومی بات‌های عادی از کار می‌افتند. در سطح بالاتر بات‌هایی که رفتار مرورگر را شبیه‌سازی می‌کنند مغلوب می‌شود. و در بالاترین سطح و در مقابل پیشرفته‌ترین بات‌های ممکن، امکان قرار دادن کپچا بر سر راه آن‌ها وجود دارد.

منبع: پرداخت برتر