Hackeri cu legături cu Iranul și Hamas au lansat operațiuni paralele de cyberespionaj împotriva Israelului și națiunilor din Golf de la începutul ofensivei militare americano-israeliene din 28 februarie, exploatând panica din timpul războiului pentru a distribui programe spion și a compromite camerele de supraveghere din întreaga regiune, conform mai multor companii de securitate cibernetică.
Aplicație falsă de urgență distribuie programe spion
Într-un raport publicat vineri, compania elvețiană de securitate cibernetică Acronis a identificat o campanie care trimite mesaje SMS către israelieni, uzurpând identitatea Comandamentului Frontului Interior, o unitate a Forțelor de Apărare Israeliene, îndemânând destinatarii să descarce o presupusă actualizare a aplicației oficiale de alertă pentru rachete „Red Alert”. În loc de o actualizare legitimă, victimele descarcă programe spion care înregistrează în secret date precise de localizare GPS și pot fura mesaje text, parole, contacte și alte informații stocate pe telefon, potrivit Acronis.
Malware-ul utilizează certificate falsificate și falsifică datele de instalare pentru a părea că a fost descărcat din Google Play Store, ocolind verificările de securitate Android. Acronis a atribuit campania grupului Arid Viper, un grup de spionaj cibernetic aliniat cu Hamas, cunoscut și sub numele de APT-C-23 sau Desert Falcons, numindu-i pe atacatori „un actor de amenințare capabil și cu resurse considerabile, care operează cu obiective clare”.
Compania de securitate cibernetică bazată pe inteligență artificială CloudSEK a identificat separat aceeași campanie troianizată Red Alert la începutul săptămânii, avertizând că urmărirea locației în timp real în timpul raidurilor aeriene active „ar putea expune tiparele de mișcare ale civililor”, în timp ce interceptarea SMS-urilor ar putea permite atacatorilor să ocolească autentificarea cu doi factori.
Hackeri iranieni vizează camere de supraveghere din întreaga regiune
Într-o operațiune separată, Check Point Research a raportat că mai mulți actori de amenințare legați de Iran au făcut „sute” de încercări de a exploata vulnerabilități în camerele IP Hikvision și Dahua din Israel, Emiratele Arabe Unite, Qatar, Bahrain, Kuwait, Liban și Cipru de la începutul conflictului.
Atacatorii au folosit servicii VPN comerciale, inclusiv Mullvad, ProtonVPN, Surfshark și NordVPN pentru a ascunde activitatea de scanare, vizând în același timp vulnerabilități cunoscute, printre care o vulnerabilitate de execuție la distanță a codului în platforma Hikvision și o vulnerabilitate de ocolire a autentificării în produsele Dahua. Check Point a evaluat că activitatea este în concordanță cu doctrina Iranului de a exploata compromiterea camerelor pentru evaluarea daunelor de luptă în urma loviturilor cu rachete și a avertizat că aceasta „poate servi drept indicator timpuriu al unei potențiale activități cinetice ulterioare”.
O ofensivă cibernetică mai amplă
Campaniile fac parte dintr-un val mai amplu de operațiuni cibernetice iraniene documentate de la lansarea Operațiunii Epic Fury și a Operațiunii Roaring Lion. Unitatea 42 a Palo Alto Networks a urmărit zeci de grupuri hacktiviste pro-Iran care au lansat atacuri asupra infrastructurii critice, grupuri precum Handala revendicând responsabilitatea pentru compromiterea unei companii israeliene de energie și perturbarea sistemelor de combustibil din Iordania. Sergey Shykevich de la Check Point a declarat pentru The Register că, deși până acum nu au fost observate atacuri asupra țintelor din SUA, „estimăm că se poate extinde în următoarele zile sau săptămâni”.
Surse:
https://www.theregister.com/2026/03/04/iranian_hacking_attempts_ip_cameras/