(L’evento di spoofing AIS di massa all’aeroporto di Simferopol, 0300 UTC, 4 giugno 2024; foto courtesy Marine Traffic)
Londra. Questo giugno 2024, sarà ricordato come ‘evento-attacco’ alla sicurezza della navigazione: decine di navi mercantili hanno iniziato a trasmettere posizioni AIS che corrispondono agli aeroporti della penisola di Crimea occupata e all’aeroporto di Gelendzhik nella Federazione Russa.
Lo scorso 04 giugno quasi 50 navi hanno trasmesso la loro posizione sita nell’aeroporto internazionale di Simferopol, in Crimea, e altre 30 navi all’aeroporto di Gelendzhik.
Lo spoofing è un tipo di ‘impersonificazione tecnologica’ che cerca di ingannare una rete o un essere umano per fargli credere che la fonte di determinate informazioni sia attendibile, quando invece non lo è. Lo spoofing AIS è sempre più comune in tutto l’ecosistema marittimo e viene utilizzato per raggiungere diversi obiettivi. Lo spoofing AIS è diventato un termine generico per tutto ciò che ha a che fare con la manipolazione dell’AIS, compresa la posizione e l’identità.
All’interno del concetto di spoofing AIS, ci sono molteplici tattiche che coinvolgono l’uso di varie identità, trasmettitori e persino metodologie di manipolazione GNSS che si evolvono rapidamente rispetto alle precedenti pratiche di spedizione ingannevoli (DSP). Quando sono stati originariamente sviluppati, i sistemi di identificazione automatica (AIS) sono stati utilizzati come precauzione di sicurezza per evitare collisioni. La Safety of Life at Sea (SOLAS) ha cercato di instillare le trasmissioni AIS come strumento di sicurezza primario per tutte le navi, ma l’AIS non è mai stato progettato come strumento di tracciamento, né è stato creato come soluzione di sicurezza o di rischio. È stato originariamente progettato per garantire risultati sicuri per gli equipaggi e le navi.
La tecnologia AIS si basa sulla radiofrequenza e, in una certa misura, sull’inserimento manuale dei dati. Questo lo rende soggetto a errori umani o manipolazioni AIS intenzionali. Negli ultimi anni, i malintenzionati sono diventati più sofisticati e hanno sviluppato nuovi modi per nascondere le loro operazioni illegali. A seguito delle sanzioni del 2012 contro l’Iran, i casi di spoofing e manipolazione dell’AIS sono aumentati drasticamente. Le petroliere iraniane, non più in grado di entrare nei porti internazionali, hanno semplicemente cambiato bandiera e vi sono entrate in modo fraudolento.
Il massiccio evento di spoofing – registrato in questo giugno 2024 – sembra prendere di mira tutti i tipi di imbarcazioni, dalle navi portarinfuse alle petroliere e ai rimorchiatori, che continuano ad apparire e scomparire a velocità improbabili superiori a 40 nodi (e talvolta superiori a 100 nodi). Ad esempio, i dati AIS del 4 giugno hanno mostrato che la petroliera Coatlique (IMO: 9235000) navigava a 102,2 nodi mentre era all’ancora.
Molte delle navi che appaiono in Crimea sono battenti bandiera russa e la loro vera posizione è sconosciuta per ora, anche se è ragionevole supporre la loro presenza nelle vicinanze nell’area intorno allo stretto di Kerch, una posizione in cui la Coatlique si posiziona per le sue operazioni ship-to-ship (trasferimento di petrolio greggio da nave a nave) con frequenti blackout AIS.
La mattina del 5 giugno, l’evento di spoofing era terminato e le navi non apparivano più con la loro posizione nell’aeroporto.
All’aeroporto di Gelendzhik la situazione è la stessa, con alcune navi che navigano a 50 nodi sulla pista dell’aeroporto. Ad esempio, la petroliera Athina M (IMO: 9644237) ha trasmesso la sua posizione nell’aeroporto con una velocità di 0,0 knt, mentre la sua posizione reale rimane sconosciuta, anche se si trova certamente nel Mar Nero.
È molto probabile che questo evento sia correlato alle attività di guerra elettronica e di disturbo della guerra russo-ucraina che si svolgono a pochi chilometri da queste due località. Tuttavia, il disturbo dell’AIS che coinvolge un numero così elevato di imbarcazioni, e in due luoghi contemporaneamente, è qualcosa che non accadeva da un po’ di tempo.
Questo ricorda un evento di spoofing di massa che ha coinvolto Atria (IMO 9595137, (ora Stromboli M) e quasi due dozzine di altre navi nel giugno 2017.
Si ringraziano, per le notizie riportate in quest’articolo, i proff. Alessio Armenzoni di Open Source Centre di Londra, con studi persso il Centro Superiore di Studi sulla Difesa del Ministero della Difesa italiano; Giangiuseppe Pili, del Programma di Analisi dell’Intelligence presso la James Madison University e dell’Open Source Intelligence and Analysis presso il Royal United Services Institute; Gary C. Kessler ricercatore e consulente di sicurezza informatica marittima e fa parte del Comitato Consultivo di Cydome e consulente principale di Fathom5. Oltre alle foto cortesy by Marine Traffic.
(Spoofing all’aeroporto internazionale di Simferopol. Fonti: Marine Traffic, con note dei proff di cui sopra)
(Spoofing all’aeroporto di Gelendzhik (Federazione Russa). Fonti: Marine Traffic, annotate dai proff )
