伊朗针对IP摄像头的攻击,竟与中东实体作战深度关联:Check Point Research 于 2026年3月4日发布研究报告《Interplay between Iranian Targeting of IP Cameras and Physical Warfare in the Middle East》,揭示了伊朗相关威胁行为体在中东冲突中,将 IP 摄像头攻击与实体军事行动结合的关键发现,同时明确了攻击特征、关联地缘事件及防护建议,以下为报告核心内容梳理。
? 核心发现
当前中东冲突中,2月28日起,归属伊朗威胁行为体的基础设施,开始针对两大厂商的 IP 摄像头发起高强度攻击,攻击范围覆盖以色列、卡塔尔、巴林、科威特、阿联酋、塞浦路斯,这些国家均遭遇过与伊朗相关的重大导弹活动;3 月 1日,黎巴嫩特定区域也成为摄像头攻击的目标区域。
更早的1月14-15日,以色列和卡塔尔就已出现针对性更强的摄像头攻击行动,这一时间段恰逢伊朗因担忧潜在的美国打击,临时关闭其领空。
综合以上发现可判定,伊朗已将攻陷IP摄像头纳入其作战原则,利用该行为为导弹作战提供行动支持和持续的战场毁伤评估,部分情况下甚至会在导弹发射前开展此类操作。因此,追踪特定归属基础设施发起的摄像头攻击活动,或可成为预判后续实体军事行动的早期指标。
? 研究背景
《2026 年网络安全报告》指出,网络行动已愈发成为国家间冲突的附加工具,既用于支持军事行动,也为战场毁伤评估提供支撑。2025 年 6 月以色列与伊朗的 12 天冲突中,攻陷摄像头的行为就被用于战场毁伤评估和 / 或目标修正。
在当前的中东冲突中,Check Point Research 观察到,战事初期就出现了针对摄像头的高强度攻击,以色列、阿联酋、卡塔尔、巴林、科威特等海湾国家,以及黎巴嫩、塞浦路斯,均遭遇了针对 IP 摄像头的利用尝试激增,这些攻击均来自多个归属伊朗关联威胁行为体的攻击基础设施。
值得注意的是,1月14日也曾发现模式相似的早期攻击行动,彼时正值伊朗国内反政权抗议活动的高峰期,伊朗方面预判美国和以色列可能采取行动,因此临时关闭了领空。
? 具体研究发现
Check Point Research 持续追踪伊朗关联威胁行为体所使用的基础设施,并有以下具体发现:
2 月 28 日起,以色列、阿联酋、卡塔尔、巴林、科威特、黎巴嫩等中东多国的 IP 摄像头遭遇攻击峰值,塞浦路斯也出现同类攻击活动。
2. 被追踪的攻击基础设施,结合了 Mullvad、ProtonVPN、Surfshark、NordVPN 等特定商用 VPN 出口节点和虚拟专用服务器,经评估该基础设施被多个伊朗关联行为体使用。
3. 扫描攻击行动针对的是海康威视和大华的摄像头,试图发现设备是否存在相关漏洞暴露情况,未观察到该基础设施对其他摄像头厂商设备发起任何交互尝试。
4. 海康威视和大华的主流设备成为攻击目标,存在以下漏洞:
(上述所有漏洞均已提供补丁)
5. 研究团队以 CVE-2021-33044 和 CVE-2017-7921 两个漏洞为案例展开深入分析,核查了今年以来来自伊朗归属作战基础设施的利用尝试。
6. 以色列遭遇的摄像头攻击浪潮,其利用尝试峰值与同期地缘政治事件高度契合:
● 1月14-15日:伊朗国内反政权抗议活动达到顶峰,伊朗官方及国有媒体将此次动荡描述为美国、以色列等对手支持的阴谋,伊朗同时关闭了领空,伊拉克库尔德斯坦的摄像头也遭遇一波扫描攻击;
● 1月24日:紧张局势升级背景下,美国中央司令部指挥官访问以色列,与以色列国防军参谋长会面;
● 2 月初:伊朗领导层愈发担忧美国可能发起打击,伊朗及伊斯兰革命卫队相关信息称,美方打击或将引发更广泛的地区战争。
7. 卡塔尔、巴林、科威特、阿联酋、塞浦路斯、黎巴嫩均在 2026 年 1 月 1 日至 3月1 日期间,出现针对 IP 摄像头的利用尝试波动曲线。
8. 2025年6月以伊12 天冲突中,就已观察到相似的摄像头攻击模式,彼时该行为用于支持战场毁伤评估和目标修正。其中最知名的案例为,伊朗用弹道导弹袭击以色列魏茨曼科学研究学院前,据称已控制了正对该建筑的街道摄像头。
? 面对防御者的建议
为防范 IP 摄像头遭此类攻击,Check Point Research 为防御者提出以下防护建议:
● 消除公共暴露:移除摄像头/网络视频录像机的直接广域网访问权限,将其部署在 VPN 或零信任访问网关后方,拦截入站端口转发。
● 强化凭证管理:修改默认密码,为设备设置唯一的登录凭证。
● 补丁管理:及时更新摄像头/网络视频录像机的固件和管理软件,厂商均已推出相关更新;移除或更换无法再获得安全修复的报废设备。
● 网络分段:将摄像头隔离在专用的虚拟局域网中,禁止其横向访问企业/工业控制网络;严格管控出站流量,仅允许访问必要的更新/云端节点。
● 监控与检测:重点监测反复登录失败、非预期的远程登录,以及摄像头发起的异常出站连接等行为。
(文章部分内容来源:Check Point Research)
网络资产快速摸底
让资产“看的见、摸的清、识别准”
实现风险精准研判
通过网络远程扫描,即可快速检测全域网络在网设备,摸清资产分类和分布情况,网络资产尽在掌握,设备识别准确率95%以上!
弱口令检测
采用标靶检测方式,极短时间可完成大规模弱口令检测,独有的安全检测机制,防止造成设备锁定,既能保障业务正常运行,又让伪口令无处可藏!
安全漏洞检测
国内先进的IoT(视频监控)设备漏洞库,检测全面高效,5000点在网设备检测时间<2小时,检测效率提升20倍。
网络边界监测
能够快速检测非法外联等破坏网络边界行为,及时发现潜在安全隐患和安全风险,保障网络边界完整性。
便携式设计,一站式全流程作业
便携式工具箱,可实现在线检测—打印报 告—上传考核平台一站式全流程作业,形成闭环。
