Um pico súbito de atividade de varredura por câmeras de segurança expostas na internet foi registrado em Israel e em países do Oriente Médio. A atividade foi rastreada até um grupo de hackers com ligações com o governo iraniano. As varreduras atingiram o pico na segunda-feira, quando o Irã lançou ataques com mísseis e drones em resposta a uma operação militar israelense e norte-americana que bombardeou e matou sua liderança política no fim de semana. A empresa de segurança Check Point afirma que as varreduras visavam câmeras Hikvision e Dahua e incluíam tentativas de explorar vulnerabilidades antigas. Os alvos foram Israel, Catar, Bahrein, Kuwait, Emirados Árabes Unidos e Chipre, os mesmos países onde o Irã realizou ataques cinéticos.
Câmeras IoT como Ferramenta de Inteligência de Campo
Especialistas acreditam que os hacks de câmeras visavam obter acesso a imagens em nível de rua nas áreas de interesse, avaliar danos de impacto e coletar evidências de um ataque bem-sucedido para uso em relatórios militares e vídeos de propaganda. Houve um pico semelhante em meados de janeiro, durante os protestos anti-governo no Irã, quando o regime esperava o ataque israelense e norte-americano. A tática de hackear câmeras em território “inimigo” não é nova e foi usada em vários conflitos recentes, indicando que se tornou uma tática permanente no campo de batalha.
Hackers iranianos também invadiram câmeras durante a Guerra dos Doze Dias em junho do ano passado, registrando imagens de ataques em Israel. Antes disso, a agência de cibersegurança de Israel alertou cidadãos para protegerem suas câmeras em outubro de 2023, após o ataque terrorista do Hamas. O auge dessa tática foi visto durante a invasão russa da Ucrânia, onde unidades cibernéticas russas hackearam câmeras para reconhecimento, avaliação de danos e até para espionar rotas logísticas de equipamentos militares.
A Lição Aprendida (e Aplicada) pelo Próprio Irã
O Irã aprendeu essa lição da maneira mais difícil. De acordo com o Financial Times, Israel hackeou câmeras em Teerã por anos, coletando transmissões em um data center para analisar padrões diários de alvos de alto valor. Essas informações foram usadas no fim de semana para rastrear a localização da liderança iraniana e realizar ataques de precisão que mataram mais de 50 altos funcionários, incluindo o líder Ali Khamenei. A insegurança crônica de câmeras e dispositivos IoT está se transformando em um risco real à segurança nacional, o que pode levar a repressões regulatórias e comerciais contra fabricantes.
Panorama de Ameaças e Operações de Aplicação da Lei
O boletim também destaca operações significativas de aplicação da lei. O fórum de hacking LeakBase, especializado na venda de credenciais roubadas por infostealers, foi derrubado por agências dos EUA e Europa, com 13 suspeitos presos. O serviço de phishing Tycoon 2FA, uma das primeiras plataformas a automatizar com sucesso a interceptação de códigos de autenticação multifator (MFA), também foi desativado, com mais de 330 domínios sob controle das autoridades.
Em vulnerabilidades, 90 zero-days diferentes foram explorados no ano passado, metade deles em sistemas operacionais desktop (27%) e dispositivos de rede de borda (23%). Ataques a servidores VMware Aria Operations (CVE-2026-22719) e novas vulnerabilidades no Cisco SD-WAN (CVE-2026-20128, CVE-2026-20122) estão sendo explorados ativamente. Um administrador russo da operação de ransomware Phobos se declarou culpado nos EUA, estimando-se que tenha lucrado mais de US$ 39 milhões com resgates.
Movimentações Geopolíticas e Tendências Emergentes
O conflito geopolítico continua a influenciar o cenário cibernético. Israel alega ter bombardeado a sede de Cibernética e Guerra Eletrônica do Irã em Teerã. As autoridades iranianas ameaçaram prender cidadãos que se conectem à internet em desafio ao apagão de comunicações imposto pelo estado. Várias agências federais dos EUA deixaram de usar agentes de IA da Anthropic após a empresa ser declarada um risco à cadeia de suprimentos pelo Pentágono.
O grupo de ransomware Qilin foi o mais ativo em 2025, respondendo por 13% de todos os ataques, com um aumento geral de 50% nos ataques de ransomware em relação ao ano anterior. Ataques de anúncios maliciosos (malvertising) superaram o e-mail como principal método de entrega de malware, representando 60% de todas as campanhas observadas, impulsionadas em parte pela facilidade de gerar deepfakes com IA.
“Security cameras and smart IoT devices have long been the butt of many infosec jokes about the sorry state of their firmware and overall security. As things are slowly shaping up, that insecurity is now turning into a real national security risk.”
Recomendações Técnicas Imediatas
- Inventário e Segurança de IoT: Identifique e catalogue todos os dispositivos IoT, especialmente câmeras de segurança expostas. Desative aqueles não essenciais.
- Higiene Básica de Firmware: Aplique patches de firmware imediatamente. Use senhas fortes e únicas, alterando as padrão de fábrica.
- Segmentação de Rede: Isole dispositivos IoT em VLANs separadas, sem acesso à rede corporativa principal ou à internet.
- Monitoramento de Varreduras: Configure alertas para tentativas de varredura e exploração contra endereços IP de câmeras conhecidas (Hikvision, Dahua).
- Priorização de Patches Críticos: Foque em corrigir vulnerabilidades ativamente exploradas (KEV da CISA) em produtos VMware, Cisco SD-WAN e Juniper Junos.
- Defesa Contra Phishing com MFA: Eduque usuários sobre phishing que intercepta MFA. Considere o uso de chaves de segurança físicas (FIDO2) para contas críticas.
Análise baseada no Risky Bulletin (05/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário