Actori amenințători iranieni au lansat o campanie coordonată pentru a compromite camere de supraveghere conectate la internet în Orientul Mijlociu, exploatând vulnerabilități cunoscute în dispozitivele Hikvision și Dahua pentru a obține informații vizuale în timp real care, conform cercetătorilor, sprijină țintirea rachetelor și evaluarea daunelor de luptă.
Atacurile asupra camerelor de supraveghere se intensifică pe fondul conflictului
Campania, documentată de Check Point Research, a început să se intensifice pe 28 februarie, pe măsură ce conflictul militar mai amplu dintre SUA, Israel și Iran a escaladat în cadrul Operațiunii Epic Fury. Atacurile au afectat Israel, EAU, Qatar, Bahrain, Kuwait și Cipru, cu o activitate concentrată observată în anumite zone din Liban începând cu 1 martie.
Conform The Wall Street Journal, tentativele de hacking au vizat camere din instituții guvernamentale și financiare, Israel și EAU înregistrând cel mai mare volum de incidente. Check Point a descris amploarea atacurilor ca fiind fără precedent de la începutul conflictului actual.
Atacatorii au folosit servicii VPN comerciale — printre care Mullvad, ProtonVPN, Surfshark și NordVPN — alături de servere private virtuale atribuite mai multor grupuri de amenințări legate de Iran. Cercetătorii au identificat exploatarea unor vulnerabilități specifice, inclusiv CVE-2021-33044, o vulnerabilitate de bypass al autentificării în produsele Dahua, și CVE-2017-7921, o problemă de autentificare necorespunzătoare în camerele Hikvision. Sunt disponibile patch-uri pentru toate vulnerabilitățile identificate.
Un model care datează din iunie 2025
Campania urmează un model pe care Check Point l-a documentat pentru prima dată în timpul conflictului de 12 zile dintre Israel și Iran din iunie 2025. Într-un incident dezvăluit de Yossi Karadi, șeful Directoratului Național de Securitate Cibernetică al Israelului, Iranul a preluat controlul unei camere de stradă din apropierea Institutului de Știință Weizmann cu puțin timp înainte ca o rachetă balistică să lovească instalația pe 15 iunie 2025. Karadi a declarat că Iranul infiltrase, de asemenea, camere de supraveghere din parcări și sisteme de supraveghere rutieră pentru a urmări mișcările unor figuri importante israeliene.
Bloomberg a raportat la acea vreme că operativii iranieni au intensificat încercările de a se conecta la sistemele private de supraveghere în urma atacurilor cu rachete asupra Tel Aviv, exploatând parole slabe, firmware învechit și dispozitive configurate deficitar.
Potențial de avertizare timpurie
Check Point a observat că anterior au avut loc scanări mai direcționate pe 14-15 ianuarie, când Iranul și-a închis temporar spațiul aerian pe fondul așteptărilor unui posibil atac american, și din nou în jurul datei de 24 ianuarie, în timpul unei vizite în Israel a comandantului Comandamentului Central american. Cercetătorii au concluzionat că monitorizarea activității de vizare a camerelor din infrastructura cunoscută ca fiind legată de Iran „poate oferi o avertizare timpurie a potențialelor operațiuni cinetice subsecvente”.
Surse:
https://www.infosecurity-magazine.com/news/iran-attacks-surveillance-cameras/
https://www.socdefenders.ai/item/e308cf86-0242-44cd-9127-f66d67c1ed05