進行中の地域紛争の間、中東全域のインターネット接続監視カメラを侵害しようとする試みが急増しており、その活動はイラン系の脅威行為者に関連したインフラストラクチャに属すると考えられている。
2月28日に集中し始めたこのターゲットはイスラエル、カタール、バーレーン、クウェート、UAE、キプロスに影響を与えており、3月1日にはレバノンの一部で追加の焦点を当てた活動が観察されている。
Check Point Research(CPR)によって公開された調査結果は、Hikvisionおよび大華によって製造されたデバイスに対する調整されたキャンペーンを指摘している。
研究者らは、この活動パターンはミサイル攻撃後の作戦計画と被害評価を支援するために侵害されたカメラを使用するというイランの確立された軍事学説と一致していると述べた。
地域的エスカレーションに関連した活動
CPRによれば、悪用試行の急増は重要な地政学的展開と一致していた。以前、より焦点を当てた走査は1月14~15日に記録されており、その時期はイランが米国の攻撃の可能性への期待の中で一時的に領空を閉鎖していた。
その後の活動の波は、以下を含む他の高い評判のイベントと一致していた:
-
1月24日 – 緊張が高まる中でイスラエルを訪問した米国中央軍司令官
-
2月初旬 – 米国の攻撃がより広い地域の紛争を引き起こす可能性があるというイラン指導部からの公開警告
州間紛争におけるサイバー活動について詳しく読む:イランは世界的にサイバー攻撃を実施すると警告、Google脅威インテリジェンス責任者
キャンペーンで使用されたインフラストラクチャは、Mullvad、ProtonVPN、Surfshark、NordVPNを含む商用VPN終了ノードと、複数のイラン関連脅威行為者によって運用されていると評価された仮想プライベートサーバーを組み合わせている。
利用された特定の脆弱性
CPRによって観察されたキャンペーンはHikvisionおよび大華製品に独占的に焦点を当てていた。研究者らは認証バイパスとリモートコード実行(RCE)の欠陥を含む既知の脆弱性のスキャンを観察した。すべての特定された問題に対してパッチが利用可能である。
Check PointはCVE-2021-33044およびCVE-2017-7921を含む悪用試行を調査し、イランに属すると考えられるインフラストラクチャに遡及し、年初からアクティブである。
研究者らは2025年6月のイスラエルとイラン間の12日間の紛争中に同様の戦術を指摘した。広く報告されたある事例では、ワイツマン科学研究所に向いた街灯カメラは弾道ミサイルが建物を攻撃する直前に侵害されたと主張されている。
報告書は、イラン関連と考えられるインフラストラクチャからのカメラ標的化活動の監視が、潜在的な後続の運動作戦の早期警告を提供する可能性があると結論付けた。
これらのリスクを軽減するのを支援するために、防御者はWANアクセスを削除してVPNを使用することで公開露出を排除し、強力な認証情報を実施してファームウェアを最新の状態に保つ必要がある。
さらに、彼らは専用VLANにカメラのためのネットワークセグメンテーションを実装し、異常なログイン試行とアウトバウンド接続を監視する必要がある。
翻訳元: https://www.infosecurity-magazine.com/news/iran-attacks-surveillance-cameras/
