Atividade contra equipamentos Hikvision e Dahua combina nós de VPN comerciais, VPS e tentativas de exploração alinhadas a operações militares e avaliação de danos.
| Componente | Câmeras IP e gravadores associados de fabricantes como Hikvision e Dahua expostos à internet. |
| Vetor | Varreduras e tentativas de exploração originadas de nós de saída de VPN comerciais e servidores VPS atribuídos a múltiplos atores ligados ao Irã. |
| Impacto | Comprometimento de câmeras pode apoiar observação remota, correção de alvo e avaliação de danos após atividade militar. |
| Prioridade | Remover exposição direta à WAN, bloquear encaminhamento de portas, atualizar firmware, segmentar redes de vídeo e monitorar autenticação e conexões de saída. |
| Vulnerabilidades | A atividade analisada incluiu tentativas alinhadas à identificação de exposição a CVE-2021-33044 e CVE-2017-7921. |
| Infraestrutura | Foram observados nós de saída Mullvad, ProtonVPN, Surfshark e NordVPN, além de VPS usados como origem da atividade. |
| Alvos | Israel, Emirados Árabes Unidos, Catar, Bahrein, Kuwait, Líbano e Chipre apareceram na atividade descrita. |
Uma campanha de reconhecimento e exploração contra câmeras IP no Oriente Médio apresentou aumento acentuado a partir de 28 de fevereiro, nas primeiras horas de hostilidades regionais. A atividade concentrou-se em equipamentos Hikvision e Dahua expostos à internet e partiu de uma combinação de nós de VPN comerciais e servidores privados virtuais. A distribuição da infraestrutura indica uso operacional por mais de um ator ligado ao Irã, em vez de uma única origem estática. O padrão observado é compatível com uma operação de inteligência técnica em que câmeras acessíveis pela internet deixam de ser apenas ativos de vigilância corporativa e passam a servir como sensores remotos em áreas de interesse militar.
O aspecto mais relevante para defesa é a correlação entre os picos de varredura e eventos geopolíticos ou militares. Durante o conflito de 12 dias entre Israel e Irã em junho de 2025, o comprometimento de câmeras foi associado à possibilidade de avaliação de danos de batalha e ajuste de alvo. Na atividade mais recente, a seleção de países inclui Israel, Emirados Árabes Unidos, Catar, Bahrein, Kuwait, Líbano e Chipre, regiões também relacionadas a tensões e atividade cinética vinculada ao Irã. Embora a telemetria não prove que cada tentativa de acesso tenha resultado em controle efetivo de dispositivos, ela demonstra interesse persistente em câmeras de rede como fonte de observação tática.
O fluxo começa com infraestrutura de ataque distribuída, composta por saídas de VPN comerciais, incluindo Mullvad, ProtonVPN, Surfshark e NordVPN, e por VPS. Essa escolha dificulta a atribuição direta por endereço IP isolado e permite alternância rápida de origem durante varreduras. A atividade observada não se comportou como uma busca ampla por qualquer dispositivo IoT; ela mirou câmeras de fabricantes específicos e não apresentou interação equivalente com outros fornecedores a partir da mesma infraestrutura. Esse recorte reduz ruído operacional e sugere uma lista de alvos ou um conjunto de assinaturas voltado a dispositivos conhecidos em redes expostas.
As tentativas de exploração foram alinhadas à identificação de câmeras potencialmente vulneráveis, com análise específica de CVE-2021-33044 e CVE-2017-7921. O material disponível não confirma payloads, hashes, credenciais usadas, comandos pós-exploração nem famílias de malware implantadas nos dispositivos. A inferência técnica aceitável é que os operadores buscavam determinar quais câmeras ou gravadores estavam acessíveis e exploráveis a partir da internet, com potencial para autenticação indevida, acesso remoto ou uso do fluxo de vídeo. Em um cenário militar, esse acesso permite observar ruas, instalações, impactos, movimentação posterior e condições do ambiente sem depender de sensores próprios próximos ao alvo.
A janela de 14 e 15 de janeiro apresentou atividade semelhante contra câmeras em Israel e no Catar, além de varreduras no Curdistão iraquiano. Essas datas coincidiram com protestos internos no Irã, narrativa estatal de ameaça externa e fechamento temporário do espaço aéreo iraniano. Em 24 de janeiro, houve visita do comandante do CENTCOM a Israel, e no início de fevereiro mensagens ligadas à liderança iraniana e ao IRGC alertavam sobre o risco de ampliação regional em caso de ataque dos Estados Unidos. Esses marcos não transformam cada varredura em evidência de ataque cinético iminente, mas ajudam a explicar por que atividade contra câmeras deve ser tratada como telemetria de ameaça e não apenas como ruído de internet.
A superfície exposta envolve câmeras IP, NVRs e interfaces de gerenciamento acessíveis diretamente pela WAN. Ambientes que publicam painéis de administração, serviços web embarcados ou portas de vídeo por encaminhamento direto no roteador aumentam o risco de reconhecimento e exploração automatizada. O risco cresce quando os dispositivos usam firmware antigo, credenciais padrão, senhas reutilizadas ou equipamentos em fim de vida que não recebem atualização de segurança. A presença de câmera em área fisicamente sensível amplia o impacto, porque a informação obtida não se limita à rede: ela pode revelar localização, dano estrutural, rotina de pessoas, presença de segurança, movimento de veículos e estado operacional de instalações.
A atividade descrita teve foco em Hikvision e Dahua, sem interação observada com outros fabricantes a partir da infraestrutura analisada. Isso não significa que outros dispositivos estejam seguros; significa apenas que a campanha específica teve escopo técnico identificado nesses fornecedores. Para operadores de defesa, a prioridade é inventariar exposições públicas antes de discutir exploração bem-sucedida. Um dispositivo sem registro central, instalado por fornecedor físico, conectado em VLAN compartilhada e publicado por NAT costuma ficar fora do ciclo normal de gestão de vulnerabilidades, embora esteja dentro do perímetro real de risco.
- Câmeras IP e NVRs Hikvision e Dahua com interfaces acessíveis pela internet.
- Dispositivos publicados por encaminhamento de portas, IP público direto ou regras amplas de firewall.
- Equipamentos com firmware desatualizado, credenciais fracas, credenciais padrão ou sem suporte do fabricante.
- Redes de vídeo com acesso lateral a segmentos corporativos, industriais ou de administração predial.
A investigação deve começar por logs de borda, WAF quando aplicável, firewall, VPN, NDR, proxy e registros de autenticação dos próprios dispositivos. Como a infraestrutura usa VPN e VPS, bloquear apenas um conjunto fixo de endereços pode reduzir parte do volume, mas não resolve a exposição. O sinal mais útil está no comportamento: múltiplas requisições a caminhos de administração de câmeras, tentativas contra modelos específicos, falhas repetidas de login, autenticações remotas fora do padrão, varreduras em portas associadas a vídeo e administração, e conexões de saída iniciadas por câmeras para destinos não previstos.
Em ambientes com EDR ou inventário de ativos, câmeras e gravadores não devem ser tratados como caixas invisíveis. Mesmo quando não executam agente, eles podem ser monitorados por DHCP, DNS, NetFlow, firewall interno e espelhamento de tráfego. A equipe deve correlacionar IPs públicos atingidos com localização física das câmeras, função do ponto de captura e proximidade de ativos sensíveis. Em locais com risco geopolítico, a telemetria de varredura contra câmeras pode funcionar como indicador antecipado de interesse operacional, especialmente quando surge de infraestrutura já associada a atores ligados ao Irã e aparece em conjunto com tensões regionais.
A ausência de IoCs finais como hashes ou payloads exige uma abordagem baseada em exposição e comportamento. O hunting deve procurar tentativas contra CVE-2021-33044 e CVE-2017-7921 quando houver logs de aplicação, mas também deve cobrir tentativas de autenticação, enumeração de firmware, consulta de endpoints de câmera, mudanças de configuração e criação de usuários. Para NVRs, revisar alterações em canais, permissões, contas administrativas e destinos de gravação ajuda a identificar uso indevido mesmo quando o atacante não instala malware.
- Picos de requisições a interfaces de administração de câmeras vindas de VPNs comerciais ou VPS.
- Falhas repetidas de autenticação, autenticação bem-sucedida fora do horário normal ou de país inesperado.
- Consultas a endpoints associados a firmware, modelo, captura de imagem, fluxo de vídeo ou configuração.
- Câmeras iniciando conexões de saída para destinos não usados por atualização, nuvem autorizada ou gravação conhecida.
- Mudança recente de contas, permissões, senhas, regras de rede, canais de NVR ou parâmetros de gravação.
A primeira ação defensiva é retirar câmeras e NVRs da exposição direta à internet. Acesso remoto deve passar por VPN corporativa, gateway de acesso de confiança zero ou outro controle com autenticação forte, registro de sessão e política por identidade. Encaminhamentos de porta no roteador, regras inbound amplas e publicação de painéis administrativos devem ser removidos. Quando o acesso externo for necessário para operação física, ele precisa ser restrito por origem, identidade, horário e finalidade, com logs preservados para resposta a incidentes.
A segunda frente é endurecimento do dispositivo. Senhas padrão devem ser substituídas por credenciais únicas, contas não usadas devem ser removidas e permissões administrativas devem ser limitadas. Firmware e software de gerenciamento precisam ser atualizados com versões fornecidas pelo fabricante. Dispositivos sem suporte ou sem atualização disponível devem ser isolados de forma rígida ou substituídos, porque a exposição de equipamentos em fim de vida transforma vulnerabilidade conhecida em risco permanente. A revisão deve incluir tanto a câmera quanto o NVR, já que o gravador costuma concentrar canais, credenciais e acesso a múltiplos fluxos de vídeo.
A terceira etapa é segmentação e validação contínua. Câmeras devem ficar em VLAN dedicada, sem acesso lateral a redes corporativas, OT, administração predial, identidade ou estáções de usuários. O tráfego de saída deve ser permitido apenas para destinos necessários, como serviços de atualização e plataformas de nuvem autorizadas. Após as mudanças, a equipe deve executar varredura externa própria para confirmar ausência de painéis expostos, revisar regras de firewall, testar alertas de autenticação e manter consulta periódica em inventário de ativos conectados. Em ambientes de maior risco, qualquer aumento incomum de varredura contra câmeras deve entrar no processo de inteligência operacional e não apenas em fila de ruído de perímetro.
- Remover acesso WAN direto a câmeras e NVRs e eliminar encaminhamentos de portas.
- Aplicar atualizações de firmware e substituir equipamentos sem suporte de segurança.
- Trocar credenciais padrão, usar senhas únicas e limitar contas administrativas.
- Isolar câmeras em VLAN própria, sem caminho lateral para redes corporativas ou OT.
- Controlar tráfego de saída e alertar conexões para destinos não aprovados.
- Revisar logs de autenticação, alterações de configuração e acessos remotos após qualquer pico de varredura.
0 Comentários