Автор: По данным корейской охранной фирмы Cytur, в 2025 году число морских кибератак удвоилось из-за всплеска вредоносного ПО и инцидентов с распределенным отказом в обслуживании (DDoS).
Некоторые из наиболее тревожных примеров касались проникновения на высоком уровне в береговую цепочку поставок, что давало злоумышленникам полезную информацию о системах (или даже удаленном доступе) на уровне флота.
Другие распространялись на наихудшие сценарии: уничтоженное оборудование, взломанные системы картографирования ECDIS и дистанционное управление балластными клапанами.
Как следует из отчета Cytur, хакеры все лучше нацеливаются на транспортировку грузов морем, и у них есть на то причина: деньги.
Взлом осуществляется привычными методами: использование ничего не подозревающих членов экипажа с помощью фишинговых электронных писем; проникновение с помощью незащищенного общедоступного Wi-Fi, используемого экипажем; или через взломанный USB-накопитель, будь то путем подкупа члена экипажа для использования накопителя или случайно.
Этим не ограничиваясь, хакеры находят все новые способы монетизации судовой информации, будь то путем ее шифрования, удержания в заложниках и требования выкупа у оператора, или путем ее кражи и продажи третьим лицам в Даркнете.
По данным Cytur, продажные опции в Интернете, включают журналы рейсов, грузовые декларации, схемы конструкции судна и личную информацию экипажа.
Часто оператор платит за то, чтобы избежать разглашения своих внутренних записей: одна из распространенных программ-вымогателей использует шифрование системы планового технического обслуживания судна (PMS), заставляя жертву платить за восстановление журналов рейса.
По информации Cytur, атаки с использованием программ-вымогателей и кражи данных часто происходят в регионах с интенсивным морским трафиком, таких как азиатские воды и крупные порты-узлы.
Другой распространенной формой атаки является распределенный отказ в обслуживании (DDoS) — массированная автоматизированная активность, которая захлестывает сеть и вытесняет законный трафик.
Хакеры могут взломать уязвимые бортовые маршрутизаторы и другую ИТ-инфраструктуру, а затем использовать их для отправки такого количества запросов, что это превысит пропускную способность спутниковой связи судна, временно лишив возможности обмениваться сообщениями с береговым офисом.
Впрочем, еще опаснее взломы, направленные на отключение или захват судовых систем.
Прошлогодняя акция хакерской группы «Лаборатория Духтеган» («зашитые губы») на иранское судно стала показательным примером.
Злоумышленники систематически атаковала иранского провайдера спутниковой связи Fanava, чтобы осуществить взлом на высоком уровне цифровой цепочки поставок против иранского государственного танкерного флота.
Внедрившись в Fanava, Lab Dookhtegan получила контроль над услугами VOIP между судами и берегом по всему флоту, что усложнило связь судов с Министерством внутренних дел или портовыми служащими.
Имея доступ к судовым сетям, Lab Dookhtegan group удалось похитить корпоративные документы, принадлежащие иранским государственным фирмам NITC и IRISL, а затем разместить их в Интернете. Завершением взлома стало уничтожение судовых модемов.
Хакеры переписали разделенную память, что в дальнейшем потребовало замены аппаратного обеспечения.
Еще одна сложная атака на цепочку поставок произошла в октябре, когда японский разработчик радаров и ECDIS Furuno подвергся атаке программы-вымогателя.
Хакерская группа, известная как Rhysida, похитила внутренние данные Furuno и пригрозила обнародовать их; при этом хакеры зашифровали данные фирмы, отключили серверы резервного копирования и потребовали выкупа.
В результате цифрового нападения были временно приостановлены обслуживание, обновления и поставки запчастей для радаров Furuno.
Наибольшую обеспокоенность могут вызвать хакерские атаки на операционные технологии (OT), такие как системы управления двигателем и системы балластной воды.
Эксперты Cytur предупреждают, что протоколы связи удаленного доступа, встроенные в электронику оборудования, которые используются специалистами по устранению неполадок OEM для удаленной диагностики ошибок и внесения изменений, по-прежнему уязвимы. Вмешательства хакеров в эти узлы чреваты катастрофой.
В будущем Cytur ожидает, что атаки с использованием ИИ-агентов станут более распространенными и что этот год станет началом эры «автономных атак» с хакерскими кампаниями, в основном или полностью управляемыми ИИ.
По прогнозам консалтинговой компании, широкое использование нейросетей злоумышленниками повысит уровень киберпреступности и откроет двери для вредоносных действий большего числа потенциальных хакеров.
— Данные об инцидентах за 2024 и 2025 годы доказывают, что морская кибербезопасность больше не является «вариантом», а вопросом, напрямую связанным с «правом судна на эксплуатацию, — констатирует Чо Ен Хен, генеральный директор Cytur.
Остается добавить, что знания по кибербезопасности для моряков сохраняют факультативность, в то время, как давно назрела необходимость в соответствующей обязательной сертификации плавсостава на кибербезопасность, особенно среди офицеров судов и персонала береговых офисов.
