Сначала взламывают камеру. Потом прилетает ракета. Иран отработал схему — и запускает её снова
NewsMakerCheck Point восстановила хронологию кибератаки и бомбардировки.
Исследователи Check Point сообщили, что с начала конфликта, начавшегося 28 февраля, несколько иранских группировок ведут активный поиск уязвимых подключенных к интернету камер видеонаблюдения в Израиле и ряде стран Ближнего Востока. По словам менеджера Threat Intelligence Group в Check Point Research Сергея Шикевича, компания зафиксировала сотни попыток эксплуатации ошибок в IP-камерах двух производителей, Hikvision и Dahua.
Список стран, попавших в поле зрения атакующей инфраструктуры, включает Израиль, Катар, Бахрейн, Кувейт, ОАЭ, Кипр и Ливан. Check Point связывает выбранные направления с регионами, где за последнее время наблюдалась заметная ракетная активность, связанная с Ираном. Аналитики напомнили, что иранские структуры традиционно используют киберразведку для подготовки действий в физическом мире, включая доступ к камерам. Check Point привела пример из июня 2025 года, когда группы, связанные с Министерством разведки и безопасности Ирана, получили доступ к серверам с прямыми трансляциями CCTV из Иерусалима, а спустя несколько дней последовали ракетные удары по городу.
В свежем отчете, опубликованном в среду, Check Point назвала нынешнюю волну интереса к камерам со стороны «нескольких акторов, связанных с Ираном», возможным ранним сигналом подготовки последующих действий в физической плоскости. Компания утверждает, что атакующая инфраструктура сочетала коммерческие VPN-выходы (Mullvad, ProtonVPN, Surfshark, NordVPN) и арендованные VPS, а сканирование было нацелено только на устройства Hikvision и Dahua без попыток взаимодействия с другими брендами.
Check Point перечисляет набор уязвимостей, вокруг которых строились попытки эксплуатации: проблемы аутентификации в прошивках Hikvision ( CVE-2017-7921 ), инъекция команд в веб-компоненте Hikvision ( CVE-2021-36260 ), инъекция команд в Hikvision Intercom Broadcasting System ( CVE-2023-6895 ), неаутентифицированное удаленное выполнение кода в Hikvision Integrated Security Management Platform ( CVE-2025-34067 ), а также обход аутентификации в ряде продуктов Dahua ( CVE-2021-33044 ). Для всех перечисленных дефектов уже доступны патчи.
Исследователи Check Point сообщили, что с начала конфликта, начавшегося 28 февраля, несколько иранских группировок ведут активный поиск уязвимых подключенных к интернету камер видеонаблюдения в Израиле и ряде стран Ближнего Востока. По словам менеджера Threat Intelligence Group в Check Point Research Сергея Шикевича, компания зафиксировала сотни попыток эксплуатации ошибок в IP-камерах двух производителей, Hikvision и Dahua.
Список стран, попавших в поле зрения атакующей инфраструктуры, включает Израиль, Катар, Бахрейн, Кувейт, ОАЭ, Кипр и Ливан. Check Point связывает выбранные направления с регионами, где за последнее время наблюдалась заметная ракетная активность, связанная с Ираном. Аналитики напомнили, что иранские структуры традиционно используют киберразведку для подготовки действий в физическом мире, включая доступ к камерам. Check Point привела пример из июня 2025 года, когда группы, связанные с Министерством разведки и безопасности Ирана, получили доступ к серверам с прямыми трансляциями CCTV из Иерусалима, а спустя несколько дней последовали ракетные удары по городу.
В свежем отчете, опубликованном в среду, Check Point назвала нынешнюю волну интереса к камерам со стороны «нескольких акторов, связанных с Ираном», возможным ранним сигналом подготовки последующих действий в физической плоскости. Компания утверждает, что атакующая инфраструктура сочетала коммерческие VPN-выходы (Mullvad, ProtonVPN, Surfshark, NordVPN) и арендованные VPS, а сканирование было нацелено только на устройства Hikvision и Dahua без попыток взаимодействия с другими брендами.
Check Point перечисляет набор уязвимостей, вокруг которых строились попытки эксплуатации: проблемы аутентификации в прошивках Hikvision ( CVE-2017-7921 ), инъекция команд в веб-компоненте Hikvision ( CVE-2021-36260 ), инъекция команд в Hikvision Intercom Broadcasting System ( CVE-2023-6895 ), неаутентифицированное удаленное выполнение кода в Hikvision Integrated Security Management Platform ( CVE-2025-34067 ), а также обход аутентификации в ряде продуктов Dahua ( CVE-2021-33044 ). Для всех перечисленных дефектов уже доступны патчи.