В нескольких странах Ближнего Востока резко выросло число попыток взлома интернет-камер наблюдения. Аналитики кибербезопасности считают, что эта активность связана с сетями, используемыми иранскими хакерами. Исследование показало целенаправленную кампанию против популярных систем видеонаблюдения, а пик атак совпал с серией политических и военных событий в регионе.
Специалисты по киберугрозам зафиксировали резкое увеличение попыток проникновения в устройства видеонаблюдения, подключенные к сети. Основные эпизоды начались 28 февраля. Под удар попали системы наблюдения в Израиле, Катаре, Бахрейне, Кувейте, Объединённых Арабских Эмиратах и на Кипре. Через несколько дней похожая активность появилась и в некоторых районах Ливана.
Анализ инцидентов представили исследователи подразделения Check Point Research. Эксперты сообщили, что зафиксированная активность выглядит как скоординированная операция против оборудования китайских производителей видеонаблюдения. Основное внимание атакующих сосредоточено на камерах брендов Hikvision и Dahua Technology.
По словам экспертов CPR, характер действий напоминает методы, применяемые иранскими структурами в рамках военных операций. Аналитик безопасности Гил Мессинг сообщил в отчёте компании, что взломанные камеры могут использоваться для наблюдения за территорией и анализа результатов ударов. Подобная информация помогает оценивать последствия атак и корректировать дальнейшие действия.
Интересно, что пики активности совпадают с рядом политических событий. Например, 14–15 января специалисты обнаружили волну интенсивного сканирования сетей. Это произошло примерно в тот же период, когда Иран временно закрыл воздушное пространство из-за ожиданий возможной военной операции со стороны США.
Анализ сетевой инфраструктуры показал интересную картину. Атакующие использовали цепочки из коммерческих сервисов анонимизации и виртуальных серверов. В числе таких сервисов исследователи обнаружили VPN-узлы популярных провайдеров. Среди них Mullvad, ProtonVPN, Surfshark и NordVPN.
По данным специалистов Check Point Research, атакующие также использовали арендованные виртуальные серверы. Эти узлы, по оценке аналитиков, контролируются группами киберпреступников, имеющих связи с иранской инфраструктурой.
Техническая сторона операции оказалась достаточно простой. Исследователи сообщили, что злоумышленники активно проверяли устройства на наличие известных уязвимостей. В частности, внимание уделялось проблемам обхода авторизации и удалённого выполнения команд.
В отчёте CPR говорится о попытках эксплуатации двух уязвимостей. Это CVE-2021-33044 и CVE-2017-7921. Обе проблемы хорошо известны специалистам и уже имеют исправления, выпущенные производителями.