Сначала взламывают камеру. Потом прилетает ракета. Иран отработал схему — и запускает её снова

Исследователи Check Point сообщили, что с начала конфликта, начавшегося 28 февраля, несколько иранских группировок ведут активный поиск уязвимых подключенных к интернету камер видеонаблюдения в Израиле и ряде стран Ближнего Востока. По словам менеджера Threat Intelligence Group в Check Point Research Сергея Шикевича, компания зафиксировала сотни попыток эксплуатации ошибок в IP-камерах двух производителей, Hikvision и Dahua.

Список стран, попавших в поле зрения атакующей инфраструктуры, включает Израиль, Катар, Бахрейн, Кувейт, ОАЭ, Кипр и Ливан. Check Point связывает выбранные направления с регионами, где за последнее время наблюдалась заметная ракетная активность, связанная с Ираном. Аналитики напомнили, что иранские структуры традиционно используют киберразведку для подготовки действий в физическом мире, включая доступ к камерам. Check Point привела пример из июня 2025 года, когда группы, связанные с Министерством разведки и безопасности Ирана, получили доступ к серверам с прямыми трансляциями CCTV из Иерусалима, а спустя несколько дней последовали ракетные удары по городу.

В свежем отчете, опубликованном в среду, Check Point назвала нынешнюю волну интереса к камерам со стороны «нескольких акторов, связанных с Ираном», возможным ранним сигналом подготовки последующих действий в физической плоскости. Компания утверждает, что атакующая инфраструктура сочетала коммерческие VPN-выходы (Mullvad, ProtonVPN, Surfshark, NordVPN) и арендованные VPS, а сканирование было нацелено только на устройства Hikvision и Dahua без попыток взаимодействия с другими брендами.

Check Point перечисляет набор уязвимостей, вокруг которых строились попытки эксплуатации: проблемы аутентификации в прошивках Hikvision (CVE-2017-7921), инъекция команд в веб-компоненте Hikvision (CVE-2021-36260), инъекция команд в Hikvision Intercom Broadcasting System (CVE-2023-6895), неаутентифицированное удаленное выполнение кода в Hikvision Integrated Security Management Platform (CVE-2025-34067), а также обход аутентификации в ряде продуктов Dahua (CVE-2021-33044). Для всех перечисленных дефектов уже доступны патчи.

Похожие попытки исследователи отмечали во время 12-дневного конфликта между Израилем и Ираном в июне 2025 года, когда доступ к камерам мог использоваться для оценки последствий ударов. В качестве примера Check Point указывает эпизод с Институтом науки Вейцмана, по которому, как сообщалось, нанесли удар баллистической ракетой вскоре после компрометации уличной камеры, направленной на здание.

В рекомендациях Check Point упоминаются обновление прошивок и ПО до актуальных версий, отказ от прямого доступа камер из интернета, изоляция устройств на выделенной VLAN без бокового доступа к корпоративным или технологическим сетям, а также мониторинг повторяющихся неудачных попыток входа и подозрительных удаленных логинов. Шикевич отметил, что атак на цели в США Check Point пока не наблюдала, однако компания допускает расширение активности в ближайшие дни или недели.

На фоне текущего конфликта основная масса иранской киберактивности, по оценке Check Point, сосредоточена на Израиле и странах Персидского залива и чаще принимает форму дезинформации, кибершпионажа и DDoS-атак со стороны многочисленных «хактивистских» групп. Отдельные связанные с государством команды обладают потенциалом для разрушительных операций, но в подобных кампаниях участники нередко преувеличивают результаты ради публичного эффекта.

Дополнительный риск, по словам старшего менеджера Unit 42 в Palo Alto Networks Джастина Мура, создает рост активности пророссийских «хактивистов» за последнюю неделю. Unit 42 считает, что такое движение расширяет поверхность атак в регионе и повышает вероятность применения высокодеструктивных приемов, знакомых по операциям против интересов НАТО и европейских организаций.