В феврале 2023 года танкер Cathay Phoenix передавал AIS-сигнал, указывающий на движение к западу от Японии. Трек выглядел странно - судно хаотично меняло позицию в течение суток, рисуя на карте геометрические петли. Спутниковый снимок того же периода расставил всё по местам: в указанной точке не было ни одного судна. Реальная позиция танкера - 250 миль севернее, у российского нефтяного терминала Козьмино.
По данным расследования The New York Times, как минимум три танкера совершили 13 аналогичных рейсов с подделкой координат, а через "невидимый" маршрут прошло нефти ESPO примерно на миллиард долларов - при средней цене около 73 долларов за баррель (потолок - 60). Все шесть обнаруженных судов были застрахованы американской компанией American Club.
Cathay Phoenix - не аномалия. Это штатная операция теневого флота, который, по различным оценкам, насчитывает от 600 до 1 300 судов и перевозит более 4,1 миллиона баррелей санкционной нефти в сутки. Те же методы AIS-спуфинга работают на маршрутах контрабанды зерна, оружия и других грузов. Ниже - разбор методологии, которая позволяет находить такие суда через открытые источники.
Как работает AIS и почему идентификация судов через MMSI ненадёжна
Автоматическая идентификационная система работает в УКВ-диапазоне и обязательна для судов валовой вместимостью 300 GT и выше на международных рейсах - требование конвенции SOLAS,-1974.aspx), принятое IMO в 2000 году. Каждое судно транслирует набор данных: MMSI (уникальный девятизначный идентификатор), IMO-номер, координаты от GNSS, курс, скорость, пункт назначения и тип груза. Динамическая информация обновляется с интервалом от 2 секунд (быстроходные суда) до 3 минут (на якоре), статические данные - каждые 6 минут. AIS использует SOTDMA с фреймом длиной 1 минуту, разделённым на 2 250 слотов по 26,67 мс; скорость передачи - 9 600 бит/с (GMSK) на двух каналах (161.975 и 162.025 МГц) согласно ITU-R M.1371-5.А теперь - проблема. AIS проектировалась для предотвращения столкновений, не как инструмент правоприменения. Рейсовая информация (пункт назначения, тип груза, осадка) вводится экипажем вручную. Криптографической верификации нет. Аутентификации передатчика нет. Судно может транслировать произвольное имя, ложные координаты или чужой MMSI - и эти данные появятся на всех платформах мониторинга, выглядя абсолютно достоверными. По терминологии MITRE ATT&CK это Transmitted Data Manipulation (T1565.002, Impact) - целенаправленное искажение данных в транзите.
Агрегаторы вроде MarineTraffic и VesselFinder собирают AIS-сигналы с наземных станций и спутников, но содержимое не валидируют. Они показывают то, что судно заявляет о себе. Как сформулировали исследователи из DigitalDetectivePro: "AIS operates entirely on trust. A ship's crew enters the data manually. There is no cryptographic verification. No authority confirms the position is accurate before it goes out.""Система AIS оперирует на доверии. Отряд корабля входит данные вручную. Там нет криптографической верификациию. Нет авторизационного подтверждения местоположения до его передачи."
По сути - система доверия без доверия. Красивый фантик, внутри которого может быть что угодно.
Четыре типологии AIS-спуфинга теневого флота
По данным Pole Star Global, AIS-спуфинг - зонтичный термин, покрывающий несколько разных тактик. Каждая требует своего метода обнаружения.
Отключение AIS-транспондера (going dark)
Простейший способ - экипаж выключает транспондер, судно исчезает с платформ мониторинга. Формально это нарушение SOLAS, но экипаж списывает всё на техническую неисправность. Характерный признак: AIS-трек обрывается в конкретной географической зоне (вблизи санкционного порта, в районе перегрузки "борт в борт"), затем возобновляется в нейтральных водах. На аналитическом языке это AIS gap - разрыв в потоке позиционных данных. Прямого аналога в MITRE ATT&CK нет - фреймворк ориентирован на IT-системы и не покрывает RF-протоколы. Концептуально отключение транспондера ближе к Impair Defenses (T1685, Defense Evasion): субъект устраняет источник телеметрии, лишая наблюдателей данных.Масштаб проблемы хорошо иллюстрирует инцидент ноября 2021 года (описан в исследовании Frontiers): после принятия в Китае закона о защите персональной информации (PIPL) произошёл временный AIS-блэкаут на всех наземных станциях КНР. Операторы станций, не понимая, как новый закон влияет на их деятельность, просто приостановили передачу данных. Суда в одних из самых загруженных морских коридоров мира стали "невидимыми" для мониторинга. Не злой умысел - бюрократия. Но эффект тот же.
Подмена координат (position spoofing)
Более изощрённый вариант: судно продолжает транслировать AIS, но с ложными координатами. Танкер физически грузится в Козьмино, а на MarineTraffic отображается дрейфующим в международных водах к западу от Японии. По данным The New York Times, для подмены координат используется коммерчески доступное оборудование военного класса - софт или устройства, манипулирующие данными GNSS до их передачи в AIS-транспондер.Характерные артефакты: геометрические аномалии в треке - зигзаги, петли, "прыжки" координат, невозможные для реального движения. Бывший офицер санкционного комплаенса Минфина США Дэвид Танненбаум, описывая кейс Cathay Phoenix, охарактеризовал наблюдаемый спуфинг как "uncommon and sophisticated". Исследователь Бьёрн Бергман, анализируя отдельный инцидент с ложным отображением девяти шведских военных кораблей у Калининграда в марте 2021 года, обнаружил, что структура ложных AIS-сообщений содержит тонкие отличия от подлинных - потенциальная основа для автоматизированного детекшна.
Отдельный курьёз: по данным Pole Star Global, в начале 2023 года зафиксированы AIS-спуфинг-паттерны у берегов Крыма, формирующие букву Z. Кто-то не поленился рисовать символику прямо в эфире.
Клонирование MMSI (identity spoofing)
Самая агрессивная техника: судно транслирует MMSI и позывные другого, легитимного судна. На платформах одно и то же судно отображается в двух точках одновременно. Прямой аналог Masquerading (T1036, Defense Evasion) из MITRE ATT&CK.Обнаружение требует корреляции: если два идентичных MMSI передают сигналы из точек, разнесённых на сотни миль, - одно из судов использует клонированную идентичность. По рекомендации DigitalDetectivePro, параллельный поиск судна по MMSI в MarineTraffic и Equasis - стандартная практика: расхождения между платформами - немедленный красный флаг.
Комбинированные тактики
На практике теневой флот комбинирует приёмы: судно отключает транспондер при входе в зону STS-перегрузки, выполняет операцию "борт в борт", затем включает AIS с ложными координатами, имитируя нахождение в нейтральных водах. Матрёшка из трёх тактик в одном рейсе.По результатам вебинара Pole Star Global (август 2023), 24% респондентов из морской отрасли уже сталкивались с AIS-спуфингом, а 19% не знали, что это такое. Между этими двумя группами - пространство, через которое проходят миллиарды долларов санкционных грузов.
Инструменты морской разведки OSINT для отслеживания судов
MarineTraffic и агрегаторы AIS-данных
MarineTraffic - стартовая точка практически для каждого морского расследования. Платформа агрегирует AIS-данные с глобальной сети наземных приёмников и спутников, показывает текущие позиции, историю рейсов, заходы в порты и характеристики судна. VesselFinder даёт аналогичные возможности с некоторыми отличиями в зоне покрытия. Бесплатные версии обеих платформ позволяют отслеживать суда в реальном времени и просматривать ограниченную историю треков.Ключевая операция при отслеживании судов через MarineTraffic - поиск по MMSI или IMO-номеру с последующим анализом трека. Расхождение между заявленным пунктом назначения и реальным маршрутом - первый красный флаг. Необъяснимые разрывы в треке, совпадающие с зонами санкционных портов или известных STS-хотспотов, - второй.
Shodan тоже релевантен: он индексирует открытые AIS-ресиверы, подключённые к интернету, что даёт доступ к "сырым" AIS-данным вне коммерческих агрегаторов. Иногда через Shodan находишь ресивер, который видит то, что не попало в MarineTraffic.
Equasis и санкционные реестры
Equasis.org - бесплатная публичная база, финансируемая морскими регуляторами. Содержит историю владения и управления судном, результаты инспекций безопасности, историю смены флага и сведения о классификационном обществе. Для OSINT-аналитика Equasis - инструмент деанонимизации: за каждым танкером теневого флота стоит цепочка компаний, часто shell-структуры в офшорных юрисдикциях. Согласно исследованию Frontiers, компании-оболочки - стандартный механизм обхода санкций, и раскрытие реального бенефициара через анализ корпоративных связей - критический этап расследования.Параллельно проверяются санкционные списки OFAC SDN List (США) и EU Consolidated Sanctions List.
Спутниковая верификация через Sentinel Hub
Спутниковые снимки - то, что превращает подозрение в доказательство. Sentinel Hub даёт бесплатный доступ к данным радарного синтеза апертуры (SAR) со спутников Sentinel-1 программы Copernicus. SAR работает в любую погоду и в любое время суток - судно может укрыться от оптической камеры за облачностью, но не от радара.Методика простая: если AIS показывает судно в точке A, а SAR-снимок фиксирует его в точке B - расхождение и есть прямое доказательство спуфинга. Именно так The New York Times подтвердила реальное местонахождение Cathay Phoenix. AIS_Tracker автоматизирует этот процесс: корреляция SAR-детекций (из данных ESA SNAP) с AIS-позициями в заданном временном окне (по умолчанию ±30 минут) и пространственном пороге (5 км). Объект на радаре без соответствующего AIS-сигнала помечается как dark vessel.
Ограничения стоит держать в голове: пространственное разрешение Sentinel-1 - около 10–20 метров. Для крупных танкеров и балкеров хватает, мелкие суда могут не детектироваться. Частота обновления - несколько дней, что создаёт временные окна, в которые спуфинг остаётся незамеченным. Радар видит многое, но не всё и не всегда.
Пошаговый анализ аномалий судовых треков
Шаг 3. Кросс-проверка SAR-снимками. Для каждого разрыва запрашиваем SAR-снимок Sentinel-1 за соответствующий период через EO Browser (apps.sentinel-hub.com). Объект подходящего размера в зоне молчания транспондера - подтверждение наличия dark vessel.
Шаг 4. Верификация через Equasis. Для подозрительного судна проверяем: частоту смены флага (частая смена - красный флаг), возраст судна (теневой флот состоит преимущественно из старых танкеров), цепочку владения (shell-компании), классификационное общество и историю инспекций.
Шаг 5. Проверка по санкционным базам. IMO-номер и название судна проверяются по OFAC SDN List, EU Consolidated List и OpenSanctions. Через AIS_Tracker это автоматизируется одной командой:
python sanctions.py check --imo 9328716 (гипотетический CLI-интерфейс системы такого класса; проверяйте актуальный репозиторий AIS_Tracker).Шаг 6. Анализ скорости и осадки. Судно, зашедшее в порт с балластом и вышедшее гружёным, сидит ниже в воде. Изменение осадки в AIS без соответствующего захода в порт по треку - индикатор скрытой погрузки. Резкое замедление в открытом море может указывать на STS-операцию. Тут как с весами - загрузился, просел, а в трек ничего не записал. Подозрительно.
Контрабанда зерна и санкционная нефть: одна методология
Теневой флот - не только нефтяная история. Те же методы AIS-манипуляций применяются на морских путях контрабанды зерна через ливийские и средиземноморские порты. Механика идентична: судно загружается в порту, не фигурирующем в маршрутном листе, отключает AIS или подменяет координаты, затем появляется на треке с подложным пунктом происхождения груза.По данным DigitalDetectivePro, в 2025 году регуляторы добавили более 400 судов в санкционные списки, но теневой флот продолжает расти. Согласно Pole Star Global, сложность AIS-спуфинга заметно увеличилась после санкций против Ирана в 2012 году, а ограничения против России в 2022 году спровоцировали новый виток - и в нефтяном, и в зерновом сегментах.
Для OSINT-аналитика контрабанда зерна через Ливию методологически не отличается от мониторинга нефтяных маршрутов: те же инструменты, те же паттерны аномалий судовых треков, те же санкционные базы. Разница - в географии зон интереса и типах судов: балкеры вместо танкеров. Меняется декорация, спектакль тот же.
Автоматизация transport-OSINT: скоринг и потоковый мониторинг
Для масштабного мониторинга ручной анализ через MarineTraffic не тянет. Открытый proof-of-concept AIS_Tracker демонстрирует архитектуру полноценной системы: приём AIS-потока через WebSocket (aisstream.io), корреляция с SAR-детекциями из ESA SNAP, скоринг доверия и автоматические алерты.Скоринг доверия в AIS_Tracker строится на четырёх компонентах:
| Компонент | Что измеряет |
|---|---|
| AIS consistency score | Регулярность позиционных сообщений, обнаружение «прыжков» |
| Behavioral normalcy score | Аномальные изменения скорости и курса |
| SAR corroboration score | Перекрёстная проверка с радарными детекциями |
| Deception likelihood | Итоговая вероятность AIS-манипуляции (0.0–1.0) |
Для парсинга сырых AIS-сообщений в формате NMEA используется библиотека
pyais:
Python:
from pyais import decode
# Декодирование AIS-сообщения формата NMEA
msg = decode("!AIVDM,1,1,,B,15MgK70P00G?Pg0,0*72")
print(f"MMSI: {msg.mmsi}, Lat: {msg.lat}, Lon: {msg.lon}")
# Сигнатура может отличаться - проверяйте docs pyaisМаппинг морских манипуляций на фреймворк MITRE ATT&CK систематизирует угрозы и помогает строить детекшн-правила по знакомым паттернам:
| Морская тактика | ATT&CK Technique | Тактика ATT&CK |
|---|---|---|
| Подмена AIS-координат | Transmitted Data Manipulation (T1565.002) | Impact |
| Клонирование MMSI | Masquerading (T1036) | Defense Evasion |
| Сбор AIS из агрегаторов | Search Open Websites/Domains (T1593) | Reconnaissance |
| Отключение транспондера | Impair Defenses (T1685)* | Defense Evasion |
Применение ATT&CK к морской разведке OSINT - пока нестандартная практика, но она позволяет встроить maritime intelligence в общий threat intelligence workflow, а не рассматривать его как изолированную дисциплину. Если ваш SOC уже работает с ATT&CK-маппингами, морские алерты лягут в ту же систему без лишних костылей.
Основная проблема морского OSINT - не нехватка инструментов, а разрыв между скоростью анализа и скоростью адаптации теневого флота. MarineTraffic, Sentinel Hub, Equasis доступны любому аналитику с браузером. Но пока вы вручную коррелируете AIS-gap с SAR-снимком одного судна, оператор теневого танкера уже сменил MMSI, перерегистрировал shell-компанию и отправил следующий рейс.
Заключение
По опыту работы с конкретными кейсами, наиболее результативны не разовые расследования отдельных судов, а системный мониторинг зон - когда ставится "триггер" на район и автоматически фиксируется каждое аномальное событие. Именно такую логику реализует AIS_Tracker и ему подобные системы.OFAC добавляет 400 судов в санкционные списки за год - и за тот же год в теневой флот входят новые сотни. Это не технологическая проблема, а enforcement gap между обнаружением и реальными последствиями. Большинство расследований теневого флота заканчиваются публикацией отчёта, а не арестом судна.
Для тех, кто работает в этой области, вывод один: задача аналитика - не "поймать" конкретный танкер, а выстроить воспроизводимую методологию, которая масштабируется без участия автора. Попробуйте взять любой STS-хотспот из списка выше, прогнать через него скрипт из Шага 2 и сверить результат с SAR-снимком за тот же период. Если найдёте dark vessel - значит, методология работает. Сейчас гонку выигрывает тот, кто автоматизирует мониторинг раньше, чем теневой флот автоматизирует уклонение.
Последнее редактирование модератором:
