ITanalyze

سعید میرشاهی - تحولات صنعت دریایی به یکی از اهداف اصلی حملات سایبری تبدیل شده است. در این گزارش به بازیگران تهدید، رویدادها، آسیب‌پذیری‌ها و راهکارهای مقابله پرداخته می‌شود.

صنعت دریایی که مسئول جابه‌جایی حدود ۹۰ درصد تجارت جهانی است، به طور فزاینده‌ای در معرض حملات گروه‌های تهدید سایبری قرار گرفته است.

گزارش اخیر شرکت Cyble، برای مشتریان خود، بیش از 100 حمله سایبری توسط گروه‌های تهدید پیشرفته پایدار (APT)، عوامل تهدید با انگیزه مالی، گروه‌های باج‌افزاری و هکتیویست‌ها را مستند کرده است. این روند در پی تشدید درگیری‌های ژئوپلیتیکی، صنعت کشتیرانی و حمل‌ونقل دریایی را به هدف اصلی برای این بازیگران تبدیل کرده است.

این وضعیت، به‌ویژه در سال گذشته شدت گرفته است. هکتیویست‌های حامی فلسطین با استفاده از داده‌های AIS  (سامانه شناسایی خودکار)، به کشتی‌های مرتبط با اسرائیل و گروه‌های روسی نیز به بنادر اروپایی حامی اوکراین حمله کرده‌اند. عوامل وابسته به دولت چین نیز سازمان‌های رتبه‌بندی که مسئول صدور گواهی برای ناوگان کشتی‌های جهان هستند، هک کرده‌اند.

در یکی از حملات شاخص در مارس ۲۰۲۵، همزمان با حملات آمریکا به نیروهای حوثی در یمن، گروه ضدایرانی «لب‌دوختگان» یک حمله سایبری هماهنگ‌شده انجام داد که گفته می‌شود باعث اختلال در سامانه‌های ارتباطی ماهواره‌ای (VSAT) علیه 116 کشتی ایرانی شد. این عملیات، ارتباط بین کشتی‌ها و نیز ارتباط کشتی‌ها با بندر را قطع کرد و شرکت‌ها و نهادهایی را هدف قرار داد که به ارسال تسلیحات به نیروهای حوثی، متهم شده بودند.

اختلالات الکترونیکی، از جمله پارازیت و جعل سیگنال GPS در گذرگاه‌های حیاتی دریایی مانند خلیج فارس و تنگه هرمز در حال افزایش است. این تهدیدات، خطر جدی برای ایمنی کشتی‌ها و قابلیت اطمینان عملیات دریایی ایجاد می‌کند. چنین مداخلاتی می‌تواند گزارش‌دهی موقعیت از طریق AIS  و سایر سامانه‌های ناوبری را مختل و عملاً کشتی‌ها را در شلوغ‌ترین و حساس‌ترین آبراه‌های جهان «کور» کند.

این اختلالات که عمدتاً ناشی از تنش‌های فزاینده ژئوپلیتیکی و تحرکات نظامی هستند، احتمال برخورد کشتی‌ها، خطاهای ناوبری و بروز حوادث دریایی را بالا برده و همزمان، امنیت منطقه و جریان ایمن تجارت جهانی را تهدید می‌کنند.

در ادامه، برخی از مهم‌ترین رویدادها، کارزارها و آسیب‌پذیری‌های بخش دریایی و نیز ملاحظات کلیدی امنیت سایبری ارائه شده است:

• حملات گروه‌های APT به صنعت دریایی

در یک سال گذشته، دست‌کم ۱۲ گروه APT، صنعت دریایی را هدف قرار داده‌اند. برخی از این گروه‌ها عبارتند از:

• گروه SideWinder APT از جنوب آسیا که تأسیسات دریایی در مصر، جیبوتی، امارات، بنگلادش، کامبوج و ویتنام را هدف گرفته است.
• گروه Mustang Panda وابسته به چین که شرکت‌های کشتیرانی باری در نروژ، یونان و هلند را هدف قرار داده است. یکی از موارد نگران‌کننده، کشف بدافزار مستقیماً روی سیستم‌های کشتی‌های باری و یکی از روش‌های نفوذ این گروه، آلودگی اولیه از طریق USB بوده است.
• گروه APT41 تحت حمایت دولت چین که به اهداف کشتیرانی و لجستیک در بریتانیا، ایتالیا، اسپانیا، ترکیه، تایوان و تایلند حمله کرده است. استفاده از چارچوبDUSTTRAP برای گریز از تحلیل‌های قضایی دیجیتال و بدافزارهای پیشرفته مانندShadowPad  وVELVETSHELL ، از جمله تاکتیک‌های این گروه بوده است.
• گروه APT28 وابسته به روسیه که زنجیره تأمین دریایی ناتو در حمایت از اوکراین و شرکت‌های غربی در حوزه حمل‌ونقل و لجستیک را هدف قرار داده است.
• گروه Crimson Sandstorm وابسته به ایران که بخش‌های کشتیرانی، حمل‌ونقل و لجستیک دریایی در مدیترانه را هدف گرفته است.
• گروه Turla/Tomiris وابسته به روسیه که شرکت‌های حمل‌ونقل و لجستیک در منطقه آسیا-اقیانوسیه را هدف قرار داده و از روش‌هایی مانند آلودگی از طریق دیسک‌های USB برای جاسوسی صنعتی استفاده کرده است.
• گروه RedCurl مرتبط با روسیه که بیش از ۴۰ حمله، علیه اهداف حمل‌ونقل و لجستیک در استرالیا، سنگاپور و هنگ‌کنگ انجام داده است.
• گروه Hellhound که دست‌کم ۷۰ سازمان روسی از جمله حملات مشکوک به زنجیره تأمین را هدف قرار داده است.
• گروه Chamel Gang وابسته به چین که علیه سازمان‌های حمل‌ونقل و لجستیک، حملات باج‌افزاری داشته است.
• نقض داده‌ها در صنعت دریایی در دارک‌وب

پژوهشگران دارک‌وب شرکتCyble ، در سال گذشته تعدادی از بازیگران تهدید را شناسایی کرده‌اند که داده‌های حساس و دسترسی‌های ادعایی سرقت‌شده از سازمان‌های دریایی را برای فروش عرضه کرده‌اند. این ادعاها، شامل موارد زیر بوده است:

یک عامل تهدید (TA) درDarkForums ، اخیراً مدعی شده که یک ترابایت داده داخلی از یک پیمانکار بزرگ دفاعی اروپایی فعال در حوزه زیردریایی‌ها و شناورهای نظامی به دست آورده است. این فرد ادعا کرده داده‌ها، شامل کد منبع سامانه مدیریت محتوای محرمانه برای زیردریایی‌ها و ناوچه‌ها، فراداده‌های شبکه، اسناد فنی طبقه‌بندی‌شده، ماشین‌های مجازی با شبیه‌سازهای نیروی دریایی و مکاتبات داخلی محرمانه است.

عامل تهدید دیگر درDarkForums ، اخیراً داده‌هایی را برای فروش گذاشته که مدعی است از یک شرکت فناوری دریایی اروپایی سرقت کرده است. طبق ادعا، داده‌ها شامل فایل‌های سیستمی داخلی شرکت، راهنماهای فنی و پیکربندی‌های داخلی سیستم‌ها، پیام‌های دقیقNMEA  مورد استفاده در سامانه‌های کنترل موتور و دیگر مستندات عملیاتی حساس است.

در ژوئن، یک عامل تهدید درDarkForums ، داده‌هایی را تبلیغ کرد که ظاهراً متعلق به یک مرجع بزرگ دریایی در آمریکای جنوبی بوده است. طبق ادعای او، داده‌های افشا‌شده، شکاف‌های امنیتی را از جمله نظارت آفلاین بر مسیرهای کلیدی دریایی و پروتکل‌های امنیت سایبری قدیمی در برخی بنادر مهم نشان می‌دادند.

در فوریه، یک عامل تهدید درBreachForums  (نسخه پیشین)، داده‌هایی را منتشر کرد که ادعا می‌کرد از یک نهاد دولتی خاورمیانه‌ای مسئول تنظیم مقررات، توسعه و نظارت بر حمل‌ونقل و لجستیک دریایی به دست آمده است. به گفته او، این داده‌ها شامل گزارش‌های عملیاتی، داده‌های لجستیکی، مکاتبات داخلی و دیگر اطلاعات حیاتی مربوط به فعالیت‌های دریایی بوده است.

یک عامل تهدید دیگر درBreachForums ، داده‌هایی را تبلیغ کرد که مدعی بود از بندر بزرگ آمریکایی سرقت کرده است. این داده‌ها، شامل گواهی‌های SSL، کلیدهای خصوصی، مجوز فایروال و اطلاعات ورود به سیستم بود.

شرکت Cyble ، همچنین ده‌ها حمله باج‌افزاری و هکتیویستی علیه بخش دریایی را مستند کرده است. در میان داده‌های ادعایی استخراج‌شده توسط گروه‌های باج‌افزاری، نقشه‌ها و طرح‌های کشتی نیز مشاهده شده است.

• آسیب‌پذیری‌های تأثیرگذار بر حوزه دریایی

پژوهشگران حوزه آسیب‌پذیری شرکتCyble ، تعداد 10 آسیب‌پذیری را برجسته کرده‌اند که باید اولویت تیم‌های امنیتی حوزه دریایی باشد. این آسیب‌ها، موارد زیر را شامل می‌شوند:

• CVE-2025-5777 وCVE-2025-6543  در دستگاه‌هایCitrix NetScaler  که ممکن است در ارتباطات کشتی به ساحل و دسترسی از راه دور به سامانه‌های کشتی وجود داشته باشد.
• CVE-2025-52579 در نرم‌افزارEmerson ValveLink  که امکان پیکربندی و پایش کنترلرهایFIELDVUE  را فراهم می‌کند و در سامانه‌های دریایی مانند مدیریت آب توازن، مدیریت سوخت و کنترل موتور کاربرد دارد. (آب توازن یعنی آبی که کشتی در مخازن مخصوص برای حفظ تعادل و پایداری در زمان بارگیری، تخلیه یا هنگام عبور از مسیرهای مختلف ذخیره می‌کند.)
• CVE-2025-20309 درCisco Unified CM وUnified CM SME  که می‌تواند بر سامانه‌های ارتباطی روی کشتی اثر بگذارد.
• CVE-2024-2658 در محصولات Schneider Electric EcoStruxure که ممکن است در سامانه‌های کنترل صنعتی (ICS) برای خودکارسازی عملیات کشتی استفاده شود.
• CVE-2024-20418 درCisco Ultra-Reliable Wireless Backhaul (URWB)  که می‌تواند بر اتصال و خودکارسازی بندرها و پایانه‌ها تأثیر بگذارد.
• CVE-2024-20354 در نرم‌افزارCisco Aironet Access Point (AP)  که در نقاط دسترسی بی‌سیم صنعتی مانند Cisco IW3702 استفاده می‌شود و ممکن است بر ارتباطات بی‌سیم کشتی‌ها و بنادر اثرگذار باشد.
• CVE-2022-22707، CVE-2019-11072 وCVE-2018-19052  در وب‌سرورCOBHAM SAILOR 90 VSAT High Power  که می‌تواند ارتباطات ماهواره‌ای دریایی کشتی‌ها را تحت تأثیر قرار دهد.

• ایمن‌سازی صنعت دریایی

شرکتCyble ، مجموعه‌ای از اقدامات امنیتی را برای بهبود امنیت سایبری در بخش دریایی پیشنهاد می‌کند که از جمله آن می‌توان به ممنوعیت استفاده از دستگاه‌های USB شخصی در بخش‌های عملیاتی بنادر و کشتی‌ها اشاره کرد.

معماری جداسازی شبکه باید در قالب موارد زیر پیاده‌سازی شود:

• نصب دروازه‌های یک‌طرفه (Data Diode) بین شبکه جرثقیل‌ها و سامانه‌های بندری
• ایجاد VLAN‌ اختصاصی برای جرثقیل‌ها بدون قابلیت مسیریابی با اینترنت
• پیاده‌سازی کنترل دسترسی زمان‌بندی‌شده: جرثقیل‌ها فقط در حین عملیات فعال، با یکدیگر ارتباط برقرار کنند.
• نصب پوشش‌های RF روی اتاق‌های کنترل جرثقیل برای جلوگیری از ارتباطات از طریق مودم‌های سلولی
• استفاده از تحلیلگر طیف برای شناسایی ارتباطات غیرمجاز سلولی/ ماهواره‌ای
• جداسازی کامل سامانه‌های عملیاتی از وب‌سایت‌های عمومی
• اجرای مسدودسازی جغرافیایی در دوره‌های افزایش تنش‌های ژئوپلیتیکی
• ایجاد اسکریپت‌های خودکار برای فعال‌سازی محافظت ابری در برابر DDoS در کمتر از ۱۵ دقیقه
• استقرار نسخه‌های ایستا برای جایگزینی محتوای پویا در زمان حمله
• نصب تجهیزات امنیتی در مسیر ارتباطیECDIS با هر نوع شبکه
• پیاده‌سازی فهرست سفید نرم‌افزاری برای اجرای صرفاً نرم‌افزارهای ناوبری تأییدشده
• گذار به به‌روزرسانی نقشه‌ها با تأیید بلاک‌چینی و بسته‌بندی ضد‌دستکاری
• استفاده از رسانه‌های نوری یک‌بارنوشت (Write-Once) برای داده‌های حیاتی ناوبری
• به‌کارگیری توکن‌های سخت‌افزاری همراه با احراز هویت بیومتریک برای دسترسی بازرس‌ها
• الزام به استفاده از SBOM (صورت‌فهرست اجزای نرم‌افزاری) با امضای رمزنگاری‌شده برای همه نرم‌افزارهای دریایی.

• نتیجه‌گیری

امنیت زنجیره تأمین، نیازمند توجه فوری به غیرفعال کردن دسترسی از راه دور روی تجهیزات ساخت چین، اجرای ارزیابی‌های امنیتی سختگیرانه برای فروشندگان و ایجاد مکانیزم‌های امن به‌روزرسانی برای سامانه‌های دریایی است. دسترسی دائمی فروشندگان باید با پنجره‌های پشتیبانی «در لحظه» جایگزین شود.

مدیریت آسیب‌پذیری باید اولویت را به اصلاح آسیب‌پذیری‌های فهرست‌شده در CISA KEV بدهد، سیستم‌های قدیمی ویندوز را جایگزین کند و تقسیم‌بندی شبکه بین محیط‌های IT و OT را اجرا نماید. (CISA KEV، فهرست رسمی آسیب‌پذیری‌هایی است که به‌طور فعال در حملات واقعی مورد سوءاستفاده قرار گرفته‌اند و توسط آژانس امنیت سایبری و زیرساخت آمریکا، منتشر و به‌روزرسانی می‌شوند.)

قابلیت‌های واکنش به حادثه، به پروتکل‌های خاص دریایی، تیم‌های چندوظیفه‌ای که شامل متخصصان OT باشند و تمرینات منظم شبیه‌سازی سناریوهای باج‌افزاری وAPT  نیاز دارد.

کنترل دسترسی باید شامل حذف گذرواژه‌های پیش‌فرض، پیاده‌سازی احراز هویت چندمرحله‌ای و مدیریت دسترسی ممتاز برای سامانه‌های حیاتی باشد. همچنین رعایت الزامات قانونی، از جمله آمادگی برای مقررات امنیت سایبری گارد ساحلی، همسویی با استانداردهای IACS UR E26/E27 و اجرای الزامات دستورالعمل  NIS2ضروری است. (منبع:عصرارتباط)