Οι φορείς απειλών εντείνουν τη στόχευση καμερών IP στη Μέση Ανατολή εν μέσω συνεχιζόμενης σύγκρουσης

Οι κυβερνοεπιθέσεις που συνδέονται με ιρανικούς παράγοντες απειλών παίρνουν μια νέα και ανησυχητική μορφή στη συνεχιζόμενη σύγκρουση στη Μέση Ανατολή.

Από τα τέλη Φεβρουαρίου 2026, μια συντονισμένη εκστρατεία για την παραβίαση των συνδεδεμένων στο Διαδίκτυο καμερών IP βρίσκεται σε εξέλιξη σε πολλές χώρες της περιοχής, εγείροντας σοβαρές ανησυχίες σχετικά με τον τρόπο με τον οποίο χρησιμοποιούνται ενεργά οι επιχειρήσεις στον κυβερνοχώρο για την υποστήριξη της φυσικής στρατιωτικής δραστηριότητας.

Η εκστρατεία παρατηρήθηκε για πρώτη φορά στις 28 Φεβρουαρίου 2026, με μια απότομη αύξηση των προσπαθειών εκμετάλλευσης που στοχεύουν κάμερες IP στο Ισραήλ, τα Ηνωμένα Αραβικά Εμιράτα, το Κατάρ, το Μπαχρέιν, το Κουβέιτ, τον Λίβανο και την Κύπρο.

Η δραστηριότητα επίθεσης προήλθε από υποδομές συνδεδεμένες με παράγοντες απειλής Iran-nexus, χρησιμοποιώντας εμπορικούς κόμβους εξόδου VPN – συμπεριλαμβανομένων των Mullvad, ProtonVPN, Surfshark και NordVPN – παράλληλα με εικονικούς ιδιωτικούς διακομιστές για να κρύψουν την πραγματική τους προέλευση.

Η κλίμακα και ο χρόνος αυτών των επιθέσεων δεν είναι καθόλου τυχαία. Προηγούμενη δραστηριότητα καταγράφηκε επίσης στις 14–15 Ιανουαρίου, συμπίπτοντας ακριβώς με μια περίοδο κατά την οποία το Ιράν έκλεισε τον εναέριο χώρο του εν μέσω φόβων για ενδεχόμενο στρατιωτικό χτύπημα των ΗΠΑ.

Οι αναλυτές της Check Point Research προσδιόρισαν αυτά τα μοτίβα στόχευσης μέσω της συνεχούς παρακολούθησης των υποδομών που συνδέονται με το Ιράν και σημείωσε ότι οι αιχμές στην εκμετάλλευση της κάμερας ευθυγραμμίζονται με συνέπεια με τα μεγάλα γεωπολιτικά γεγονότα.

Η δραστηριότητα στις 24 Ιανουαρίου, για παράδειγμα, συνέπεσε με μια επίσκεψη του διοικητή της Κεντρικής Διοίκησης των ΗΠΑ στο Ισραήλ για συναντήσεις υψηλού επιπέδου με τον αρχηγό του επιτελείου των ισραηλινών αμυντικών δυνάμεων.

Στις αρχές Φεβρουαρίου, καθώς η ηγεσία του Ιράν ανησυχούσε όλο και περισσότερο για ένα πιθανό χτύπημα των ΗΠΑ και τα μηνύματα που συνδέονταν με το IRGC προειδοποιούσαν ότι μια τέτοια ενέργεια θα μπορούσε να πυροδοτήσει έναν ευρύτερο περιφερειακό πόλεμο, οι προσπάθειες εκμετάλλευσης είδαν μια άλλη σαφή και τεκμηριωμένη άνοδο.

Οι κύριοι στόχοι είναι συσκευές που κατασκευάζονται από δύο από τους πιο ευρέως αναπτυγμένους κατασκευαστές φωτογραφικών μηχανών στον κόσμο: την Hikvision και τη Dahua. Και οι δύο μάρκες εγκαθίστανται τακτικά σε δημόσιους χώρους, κρίσιμες τοποθεσίες υποδομής και εμπορικά κτίρια σε όλη την περιοχή.

Η ευρεία παρουσία τους τους καθιστά στόχους υψηλής αξίας για ηθοποιούς που αναζητούν οπτική ευφυΐα σε πραγματικό χρόνο. Σημειωτέον, καμία προσπάθεια εκμετάλλευσης από αυτήν την υποδομή δεν κατευθύνθηκε σε κάμερες οποιουδήποτε άλλου κατασκευαστή.​

Οι συνέπειες αυτής της εκστρατείας υπερβαίνουν κατά πολύ την τυπική κατασκοπεία στον κυβερνοχώρο. Κατά τη διάρκεια της 12ήμερης σύγκρουσης μεταξύ Ισραήλ και Ιράν τον Ιούνιο του 2025, ο συμβιβασμός της κάμερας πιθανότατα χρησιμοποιήθηκε για την υποστήριξη της εκτίμησης ζημιών στη μάχη και της διόρθωσης του στόχου.

Ένα ιδιαίτερα ανατριχιαστικό παράδειγμα περιελάμβανε την πυραυλική επίθεση του Ιράν στο Ινστιτούτο Επιστημών Weizmann του Ισραήλ — Ιρανοί ηθοποιοί φέρεται να πήραν τον έλεγχο μιας κάμερας στο δρόμο κοντά στο κτίριο λίγο πριν από το χτύπημα του πυραύλου. Συνολικά, αυτά τα ευρήματα δείχνουν ότι ο συμβιβασμός της κάμερας λειτουργεί ως άμεσο επιχειρησιακό εργαλείο στον κινητικό πόλεμο.​

Εκμετάλλευση γνωστών τρωτών σημείων σε ευρέως αναπτυγμένες συσκευές

Η ανάλυση της Check Point Research χαρτογράφησε συγκεκριμένα πέντε γνωστά τρωτά σημεία που στοχεύουν σε συσκευές Hikvision και Dahua.

Το CVE-2017-7921 είναι ένα ακατάλληλο ελάττωμα ελέγχου ταυτότητας στο υλικολογισμικό της κάμερας Hikvision. Το CVE-2021-36260 είναι μια ευπάθεια έγχυσης εντολών στο στοιχείο διακομιστή web της Hikvision.

Το CVE-2023-6895 στοχεύει ένα ελάττωμα έγχυσης εντολών λειτουργικού συστήματος στο σύστημα μετάδοσης ενδοεπικοινωνίας Hikvision, ενώ το CVE-2025-34067 — το πιο πρόσφατα αποκαλυπτόμενο — είναι μια ευπάθεια εκτέλεσης απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας στην Ενσωματωμένη Πλατφόρμα Διαχείρισης Ασφαλείας της Hikvision. Το CVE-2021-33044 ολοκληρώνει τη λίστα ως παράκαμψη ελέγχου ταυτότητας που επηρεάζει πολλά προϊόντα Dahua.​

Διατίθενται ενημερώσεις κώδικα από τους κατασκευαστές και για τις πέντε ευπάθειες. Παρόλα αυτά, πολλές συσκευές παραμένουν μη επιδιορθωμένες και άμεσα προσβάσιμες από το διαδίκτυο, δημιουργώντας εύκολα σημεία εισόδου.

Τα κύματα εκμετάλλευσης κατά του Ισραήλ και του Κατάρ ήταν τα πιο έντονα, αλλά το Μπαχρέιν, το Κουβέιτ, τα Ηνωμένα Αραβικά Εμιράτα, η Κύπρος και ο Λίβανος κατέγραψαν επίσης μετρήσιμη δραστηριότητα.​

Στοχευμένα τρωτά σημεία στις κάμερες Hikvision και Dahua:-

Οι οργανισμοί που διαχειρίζονται κάμερες IP και συστήματα παρακολούθησης σε όλη την περιοχή θα πρέπει να λάβουν άμεσα μέτρα για να μειώσουν την έκθεσή τους.

Τα συστήματα κάμερας και οι συσκευές NVR θα πρέπει να αφαιρούνται από την άμεση πρόσβαση στο Διαδίκτυο και να τοποθετούνται πίσω από μια πύλη πρόσβασης VPN ή μηδενικής εμπιστοσύνης, εξαλείφοντας την επιφάνεια άμεσης επίθεσης.

Τα προεπιλεγμένα διαπιστευτήρια πρέπει να αντικατασταθούν με ισχυρούς, μοναδικούς κωδικούς πρόσβασης σε όλες τις συσκευές. Το υλικολογισμικό και το λογισμικό διαχείρισης θα πρέπει να ενημερώνονται τακτικά και οι συσκευές στο τέλος της ζωής τους που δεν λαμβάνουν πλέον ενημερωμένες εκδόσεις κώδικα ασφαλείας θα πρέπει να αποσύρονται ή να αντικαθίστανται.

Οι κάμερες θα πρέπει να τοποθετούνται σε απομονωμένα VLAN, με την εξερχόμενη κίνηση να περιορίζεται μόνο στα απαραίτητα τελικά σημεία. Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν ενεργά για επαναλαμβανόμενες αποτυχίες σύνδεσης, απροσδόκητη απομακρυσμένη πρόσβαση και ασυνήθιστες εξερχόμενες συνδέσεις από συστήματα κάμερας.