Интернет вещей (IoT) давно считается слабым звеном в корпоративных и государственных сетях, однако в условиях вооруженного конфликта его уязвимости трансформируются в инструмент стратегической разведки. Начиная с 28 февраля 2026 года исследователи зафиксировали новую масштабную волну атак, нацеленных на IP-камеры в нескольких странах Ближнего Востока. В отличие от типичных кампаний с целью получения выкупа, эта активность, по оценкам аналитиков Check Point Research (CPR), преследует цели оперативной разведки и связана с иранскими угрозами.
Активность, зафиксированная телеметрией CPR, носит скоординированный и привязанный к событиям характер. Первые, менее масштабные волны сканирования и попыток эксплуатации были отмечены 14-15 января, преимущественно против устройств в Израиле и Катаре. Этот период совпал с временным закрытием воздушного пространства Ирана на фоне ожидания потенциального удара США и внутренних протестов. Последующие всплески произошли 24 января во время визита командующего CENTCOM США в Израиль и в начале февраля на фоне повышенной готовности иранской обороны. Наибольшая же активность началась 28 февраля, затронув камеры в Израиле, Катаре, Бахрейне, Кувейте, ОАЭ и на Кипре, а 1 марта отдельная волна сканирования сфокусировалась на Ливане. Исследователи предполагают, что такие всплески могут служить ранними индикаторами эскалации физических действий в регионе.
География и синхронизация атак указывают на их оперативно-тактическое назначение. Аналитики оценивают, что иранские операторы могут компрометировать камеры для получения оценки боевого ущерба (Battle Damage Assessment, BDA) после ракетных ударов или для уточнения целей перед запуском. Это согласуется с более широкой доктриной Тегерана по интеграции кибервозможностей с военными операциями. Данная тактика уже применялась ранее, во время 12-дневного конфликта между Израилем и Ираном в июне 2025 года, когда скомпрометированные камеры, предположительно, предоставляли обратную связь в реальном времени. Один из задокументированных СМИ инцидентов описывал захват камер в районе Научного института Вейцмана в Израиле незадолго до удара по этому объекту.
Технически кампании сфокусированы на продукции двух крупнейших производителей - Hikvision и Dahua. Злоумышленники эксплуатируют как давно известные, так и недавно раскрытые уязвимости, для которых, однако, существуют исправления. Среди используемых CVE - CVE-2017-7921 (недостаток аутентификации в прошивке Hikvision), CVE-2021-36260 (внедрение команд в веб-сервер Hikvision), CVE-2023-6895 (внедрение команд ОС в Hikvision Broadcasting System), CVE-2025-34067 (неаутентифицированное выполнение удаленного кода, RCE, в Hikvision ISMP) и CVE-2021-33044 (обход аутентификации в продуктах Dahua). Отсутствие патчей на устаревших или неподдерживаемых устройствах, массово развернутых в системах видеонаблюдения по всему региону, делает их легкой добычей. Инфраструктура атакующих сочетает коммерческие VPN и облачные серверы, что усложняет их атрибуцию и блокировку.
Специалисты CPR дают ряд рекомендаций для организаций и государственных операторов, направленных на снижение рисков.
- Критически важно устранить прямой доступ устройств из интернета, убрав их из публичной зоны WAN и используя VPN или подход нулевого доверия (zero-trust) для удаленного управления.
- Необходимо обеспечить сегментацию сети, размещая камеры в отдельных VLAN и ограничивая исходящие соединения.
Также обязательны принудительная замена стандартных паролей на сложные уникальные учетные данные и регулярное обновление прошивок с заменой неподдерживаемых устройств. Наконец, усиление мониторинга на предмет неудачных попыток входа и аномальных исходящих подключений может помочь в раннем обнаружении компрометации.
Нарастающая эксплуатация уязвимостей в IP-камерах представляет собой тревожный тренд на стыке физической войны и киберразведки. Этот случай подчеркивает, что даже рядовые устройства «умной» инфраструктуры могут быть превращены в инструменты сбора разведданных государственного уровня. Для специалистов по информационной безопасности это сигнал к пересмотру подходов к защите IoT не только с точки зрения рисков для конфиденциальности или DDoS-атак, но и как критически важных активов, отказ или компрометация которых могут иметь прямые оперативные последствия в условиях геополитической напряженности.
