Trong bối cảnh xung đột đang diễn ra, các cuộc tấn công mạng đã và đang thể hiện những hình thức mới, đáng báo động. Kể từ cuối tháng 2 năm 2026, một chiến dịch phối hợp nhằm xâm nhập các lỗ hổng camera IP kết nối internet đã được triển khai trên nhiều quốc gia trong khu vực. Điều này làm dấy lên những lo ngại nghiêm trọng về việc các hoạt động tác chiến mạng đang được sử dụng như thế nào để hỗ trợ trực tiếp cho các hoạt động quân sự vật lý.

Chiến dịch Khai thác Camera IP Đang Diễn ra

Chiến dịch này được ghi nhận lần đầu tiên vào ngày 28 tháng 2 năm 2026, với sự gia tăng đột biến trong các nỗ lực khai thác nhắm vào camera IP tại nhiều quốc gia, bao gồm Israel, Các Tiểu vương quốc Ả Rập Thống nhất, Qatar, Bahrain, Kuwait, Lebanon và Síp.

Hoạt động tấn công có nguồn gốc từ hạ tầng mà các nhà nghiên cứu bảo mật liên kết với các nhóm tác nhân đe dọa hoạt động trong khu vực. Để che giấu nguồn gốc thực sự, các tác nhân này đã sử dụng các nút thoát VPN thương mại như Mullvad, ProtonVPN, Surfshark và NordVPN, cùng với các máy chủ riêng ảo (VPS).

Quy mô và thời điểm của các cuộc tấn công này không phải ngẫu nhiên. Hoạt động trước đó cũng được ghi nhận vào ngày 14–15 tháng 1, trùng khớp với thời điểm một số khu vực không phận bị đóng cửa do lo ngại về một cuộc tấn công quân sự tiềm năng.

Các nhà phân tích của Check Point Research đã xác định các mô hình nhắm mục tiêu này thông qua việc giám sát liên tục hạ tầng liên quan đến các tác nhân trong khu vực. Họ cũng lưu ý rằng các đợt gia tăng khai thác camera luôn trùng khớp với các sự kiện địa chính trị lớn.

Ví dụ, hoạt động vào ngày 24 tháng 1 trùng với chuyến thăm của một chỉ huy cấp cao tới Israel để họp cấp cao với tổng tham mưu trưởng quân đội khu vực. Đến đầu tháng 2, khi giới lãnh đạo khu vực ngày càng lo ngại về một cuộc tấn công tiềm năng, các nỗ lực khai thác lại chứng kiến một đợt tăng rõ rệt và được ghi nhận đầy đủ.

Mục tiêu Chính và Tác động Chiến thuật

Các Nhà Sản Xuất Bị Nhắm Mục Tiêu

Các mục tiêu chính là các thiết bị do hai trong số các nhà sản xuất camera được triển khai rộng rãi nhất thế giới sản xuất: Hikvision và Dahua. Cả hai thương hiệu này đều được lắp đặt thường xuyên tại các khu vực công cộng, các địa điểm cơ sở hạ tầng quan trọng và các tòa nhà thương mại trên khắp khu vực.

Sự hiện diện rộng rãi của chúng khiến chúng trở thành mục tiêu giá trị cao cho các tác nhân tìm kiếm thông tin tình báo hình ảnh thời gian thực. Đáng chú ý, không có nỗ lực khai thác nào từ hạ tầng này được hướng tới camera của bất kỳ nhà sản xuất nào khác.

Ứng dụng trong Hoạt động Quân sự

Hàm ý của chiến dịch này vượt xa hoạt động gián điệp mạng thông thường. Trong một xung đột kéo dài 12 ngày giữa các bên trong khu vực vào tháng 6 năm 2025, việc xâm nhập camera có khả năng được sử dụng để hỗ trợ đánh giá thiệt hại chiến đấu và hiệu chỉnh mục tiêu.

Một ví dụ đáng lo ngại đặc biệt liên quan đến một cuộc tấn công tên lửa vào một viện khoa học trong khu vực. Các tác nhân đã kiểm soát một camera hướng ra đường gần tòa nhà ngay trước khi tên lửa tấn công. Tổng hợp lại, những phát hiện này cho thấy việc xâm nhập camera đang hoạt động như một công cụ tác chiến trực tiếp trong các cuộc xung đột vật lý.

Khả năng truy cập và kiểm soát các thiết bị giám sát này cung cấp cho các tác nhân đe dọa lợi thế chiến lược, cho phép họ thu thập thông tin tình báo theo thời gian thực về vị trí quân sự, di chuyển của quân đội và đánh giá hiệu quả của các cuộc tấn công, đây là một hình thức tấn công mạng có tác động vật lý.

Phân tích Các Lỗ hổng Camera IP Bị Khai thác

Phân tích của Check Point Research đã chỉ ra năm CVE nghiêm trọng đã biết đang bị nhắm mục tiêu trên các thiết bị Hikvision và Dahua. Các lỗ hổng này cung cấp các điểm truy cập đa dạng cho các tác nhân đe dọa.

• CVE-2017-7921: Đây là một lỗi xác thực không đúng cách (improper authentication flaw) trong firmware của camera Hikvision. Lỗ hổng này cho phép kẻ tấn công vượt qua cơ chế xác thực thông thường.
• CVE-2021-36260: Một lỗ hổng chèn lệnh (command injection vulnerability) trong thành phần máy chủ web của Hikvision. Lỗ hổng này có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống với các đặc quyền của máy chủ web.
• CVE-2023-6895: Nhắm mục tiêu một lỗi chèn lệnh hệ điều hành (OS command injection flaw) trong Hikvision Intercom Broadcasting System. Việc khai thác thành công có thể dẫn đến việc kiểm soát hệ thống cơ bản.
• CVE-2025-34067: Lỗ hổng được công bố gần đây nhất, là một lỗ hổng thực thi mã từ xa không cần xác thực (unauthenticated remote code execution – RCE) trong Hikvision Integrated Security Management Platform. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa mà không cần thông tin đăng nhập hợp lệ, dẫn đến khả năng chiếm quyền điều khiển hoàn toàn hệ thống. Thông tin chi tiết có thể được tìm thấy tại NVD NIST CVE-2025-34067.
• CVE-2021-33044: Một lỗ hổng bỏ qua xác thực (authentication bypass) ảnh hưởng đến nhiều sản phẩm Dahua. Lỗ hổng này cho phép kẻ tấn công truy cập vào các tài nguyên hoặc chức năng được bảo vệ mà không cần cung cấp thông tin đăng nhập hợp lệ.

Các bản vá đã được các nhà sản xuất cung cấp cho cả năm lỗ hổng này. Mặc dù vậy, nhiều thiết bị vẫn chưa được vá lỗi và vẫn có thể truy cập trực tiếp từ internet, tạo ra các điểm xâm nhập dễ dàng. Các đợt khai thác dữ liệu chống lại Israel và Qatar là mạnh nhất, nhưng Bahrain, Kuwait, UAE, Síp và Lebanon cũng ghi nhận hoạt động đáng kể.

Các Biện pháp Giảm thiểu và Bảo vệ Hệ thống

Các tổ chức đang vận hành camera IP và hệ thống giám sát trong khu vực nên thực hiện hành động ngay lập tức để giảm thiểu rủi ro bảo mật. Việc tăng cường an ninh mạng cho các thiết bị này là cực kỳ quan trọng để ngăn chặn các cuộc tấn công tiếp theo.

Loại bỏ Tiếp xúc Trực tiếp Internet

Để giảm bề mặt tấn công trực tiếp, các hệ thống camera và thiết bị NVR (Network Video Recorder) phải được loại bỏ khỏi quyền truy cập internet trực tiếp và đặt phía sau VPN (Virtual Private Network) hoặc cổng truy cập Zero-Trust (Zero-Trust Access Gateway).

• Đặt sau VPN/Zero-Trust: Đảm bảo rằng chỉ những kết nối được ủy quyền và xác thực mới có thể truy cập vào camera và NVR. Điều này làm giảm đáng kể khả năng tiếp cận của kẻ tấn công từ internet công cộng.
• Phân đoạn mạng: Camera nên được đặt trên các VLAN (Virtual Local Area Network) riêng biệt, với lưu lượng truy cập đi hạn chế chỉ đến các điểm cuối cần thiết.

Quản lý Xác thực và Cập nhật

Thực hiện các biện pháp quản lý xác thực và cập nhật nghiêm ngặt là điều cần thiết để bảo vệ chống lại các lỗ hổng camera IP đã biết và mới phát sinh.

• Thay đổi mật khẩu mặc định: Các thông tin đăng nhập mặc định phải được thay thế bằng mật khẩu mạnh, duy nhất trên tất cả các thiết bị.
• Cập nhật firmware và phần mềm: Firmware và phần mềm quản lý nên được cập nhật thường xuyên lên phiên bản mới nhất. Các bản vá bảo mật do nhà sản xuất cung cấp là vô cùng quan trọng để khắc phục các lỗ hổng đã biết.
• Loại bỏ hoặc thay thế thiết bị cuối vòng đời (EoL): Các thiết bị đã hết vòng đời (end-of-life) không còn nhận được các bản vá bảo mật nên được loại bỏ hoặc thay thế bằng các thiết bị hỗ trợ liên tục.

Giám sát An ninh Chủ động

Các đội ngũ an ninh cần chủ động giám sát hệ thống camera để phát hiện các dấu hiệu bất thường có thể chỉ ra sự xâm nhập hoặc khai thác.

• Theo dõi lỗi đăng nhập lặp lại: Giám sát các lần đăng nhập thất bại lặp lại có thể là dấu hiệu của các cuộc tấn công brute-force hoặc đoán mật khẩu.
• Phát hiện truy cập từ xa bất thường: Cảnh báo về bất kỳ truy cập từ xa không mong muốn nào vào hệ thống camera.
• Kiểm tra kết nối đi bất thường: Theo dõi các kết nối đi không bình thường từ hệ thống camera, vì đây có thể là dấu hiệu cho thấy thiết bị đã bị chiếm quyền điều khiển và đang cố gắng giao tiếp với máy chủ C2 (Command and Control) của kẻ tấn công.