Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

guerra in iran

Telecamere di Teheran hackerate e IA: l’arma letale del Mossad per uccidere Khamenei

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

La morte di Khamenei ha svelato qualcosa che i professionisti della sicurezza informatica sapevano già: le infrastrutture di videosorveglianza pubblica sono tra i sistemi più vulnerabili e pericolosamente sottovalutati. Ecco cosa è successo, come è tecnicamente possibile e, soprattutto, cosa possiamo imparare per difenderci

Pubblicato il 3 mar 2026
Paolo Tarsitano

Editor Cybersecurity360.it

Iran telecamere hackerate Kamenei

Citando due funzionari dell’intelligence israeliana a conoscenza diretta dei piani operativi, il Financial Times ha ricostruito come CIA e Mossad abbiano pianificato per anni l’eliminazione dell’Ayatollah Ali Khamenei.

L’attacco aereo del 28 febbraio 2026, che ha raso al suolo il compound di Pasteur Street a Teheran con 30 missili aria-terra, è il punto d’arrivo di un’operazione di intelligence tecnica di straordinaria complessità.

“Il caso dimostra quanto il confine tra cyberspazio e realtà fisica sia ormai dissolto”, sottolinea Pierluigi Paganini, analista di cyber security e Ceo Cybhorus. “La compromissione di una rete di telecamere urbane non rappresenta solo una violazione informatica, ma la possibile trasformazione di un’infrastruttura civile in uno strumento di intelligence strategica. I flussi video, se intercettati e analizzati con tecnologie avanzate, permettono di ricostruire movimenti, abitudini, relazioni e livelli di protezione attorno a siti sensibili”.

L’osservazione di Pierluigi Paganini è che “questi sistemi, spesso gestiti centralmente e connessi ad altre reti, sono presenti in ospedali, impianti industriali, sedi governative e nodi logistici. Firmware non aggiornati, credenziali deboli o vulnerabilità nella supply chain possono aprire accessi silenziosi ma estremamente informativi. In un contesto di conflitto ibrido, ogni telecamera connessa può diventare un sensore ostile, capace di fornire dati utili per pianificare azioni mirate contro infrastrutture critiche”.

Cercapersone e walkie-talkie esplosivi, un evento che ridefinisce la guerra ibrida

Telecamere del traffico trasformate in strumento di targeting

Al cuore di questa operazione della guerra in Iran c’è un dato che dovrebbe far riflettere chiunque si occupi di sicurezza informatica e fisica: il Mossad aveva il controllo operativo di gran parte delle telecamere del traffico di Teheran.

Non di una o due. Di buona parte dell’intera rete cittadina.

Le immagini venivano cifrate e trasmesse in tempo reale verso server in Israele, dove venivano elaborate da analisti dell’Unità 8200 (un’unità militare dell’intelligence israeliana incaricata dello spionaggio di segnali elettromagnetici, OSINT, decrittazione di informazioni e codici cifrati e guerra cibernetica) con il supporto di algoritmi di intelligenza artificiale.

Una telecamera, in particolare, si è rivelata strategicamente decisiva: quella puntata sul parcheggio riservato alle guardie del corpo nei pressi del compound di Pasteur Street.

Incrociando quei flussi video con tecniche di social network analysis, è stato possibile ricostruire abitudini, orari, percorsi, gerarchie di protezione e, infine, la presenza confermata di Khamenei all’interno dell’edificio nel momento esatto dell’attacco.

Come si hackerano le telecamere di una capitale: analisi tecnica

La domanda che molti si pongono è legittima: è davvero possibile compromettere l’intera rete di videosorveglianza di una capitale? Dal punto di vista tecnico, la risposta è sì. E non richiede capacità eccezionali ma tempo, pazienza e metodo.

Le telecamere di sorveglianza urbana, soprattutto in contesti dove la modernizzazione dell’infrastruttura è avvenuta rapidamente e senza adeguato presidio della sicurezza, presentano superfici di attacco amplissime.

In particolare, esistono almeno tre vettori di attacco primari:

Compromissione del sistema di gestione centralizzato

È probabilmente il vettore di attacco più efficiente perché il software che gestisce e aggrega i flussi video di migliaia di telecamere è un sistema complesso, spesso basato su tecnologie commerciali con vulnerabilità note e patch che raramente vengono applicate con tempestività.

Compromettere il sistema di gestione centralizzato significa ottenere accesso a tutta la rete di telecamere in un colpo solo.

Attacco diretto ai dispositivi (firmware exploitation)

Le telecamere IP sono dispositivi IoT a tutti gli effetti. Credenziali di default mai cambiate, firmware obsoleto e interfacce web esposte su IP pubblici sono condizioni che si trovano ancora oggi in migliaia di installazioni nel mondo.

Dunque, un attaccante con accesso alla rete può installare backdoor persistenti nel firmware e mantenere l’accesso in modo silenzioso per mesi o anni.

Social engineering sugli amministratori di sistema

Con un’operazione pianificata su scala pluriennale, come quella descritta dal Financial Times, il fattore umano diventa un vettore primario.

Un’e-mail di phishing mirata, un tecnico corrotto o un contractor con accesso privilegiato sono tutti canali percorribili quando si ha il tempo e le risorse per lavorarci.

Il precedente delle telecamere Verkada

Vale la pena ricordare che già nel 2021 un gruppo di ricercatori aveva dimostrato live come fosse possibile accedere a oltre 150.000 telecamere di Verkada, azienda di videosorveglianza Enterprise, sfruttando credenziali di un account super-admin trovate esposte online.

Ospedali, carceri, fabbriche, sedi Fortune 500: tutte visibili in un colpo solo.

Il caso della compromissione delle telecamere del traffico di Teheran, dunque, non rappresenta certo un’anomalia, ma è la progressione logica di vulnerabilità strutturali mai risolte.

Attacchi cyber in Iran: le 3 ipotesi del crollo della connettività Internet

L’arsenale completo: non solo telecamere

Secondo le informazioni raccolte dal Financial Times, la compromissione della rete CCTV delle telecamere del traffico di Teheran era solo uno degli strati dell’operazione.

Il quadro completo che emerge dalla ricostruzione è quello di un attacco cyber-fisico integrato e multidimensionale:

  • Signals intelligence: telefoni e dispositivi degli esponenti del regime costantemente monitorati nel tempo.
  • Jamming selettivo delle torri mobili: il giorno dell’attacco, i ripetitori nell’area di Pasteur Street sono stati disattivati, rendendo le linee telefoniche occupate e impedendo qualunque comunicazione d’allarme.
  • Cecità dei sistemi radar: un attacco informatico mirato ha reso inoperativi i sistemi di difesa aerea nella finestra temporale dell’operazione.
  • Social network analysis massiva: miliardi di punti dati analizzati con algoritmi AI per costruire grafi relazionali, identificare chi proteggeva chi, quando e come.
  • Fonte umana (HUMINT) di alto livello: secondo la dottrina operativa israeliana, per bersagli di primo profilo la conferma deve arrivare da due ufficiali senior in modo indipendente. Una fonte interna all’entourage di Khamenei avrebbe fornito la conferma definitiva della sua presenza nell’edificio.

Come ha dichiarato ai giornalisti del Financial Times uno dei funzionari dell’intelligence: “Conoscevamo Teheran come conosciamo Gerusalemme. E quando conosci un posto così bene, ti accorgi di una sola cosa fuori posto”.

Questa frase descrive con precisione il risultato di un’attività di threat intelligence condotta nel tempo: un modello comportamentale così dettagliato da rendere immediatamente visibile qualsiasi anomalia. È il sogno di ogni analista di sicurezza, oltre che l’incubo di chiunque sia il bersaglio.

Le implicazioni per la sicurezza delle organizzazioni: cosa impariamo

Questo caso non riguarda solo l’intelligence militare. Riguarda direttamente ogni organizzazione, pubblica o privata, che gestisce infrastrutture di videosorveglianza, reti IoT o sistemi di controllo fisico connessi alla rete.

Le lezioni operative sono concrete e immediate.

La videosorveglianza è un’infrastruttura critica, non una commodity

Troppe organizzazioni trattano le telecamere come semplici periferiche hardware, ignare del fatto che ogni dispositivo connesso è un potenziale punto d’ingresso.

Un sistema CCTV compromesso non è solo un problema di privacy: è una fonte di intelligence operativa sulla vita interna dell’organizzazione che consente di raccogliere informazioni su chi entra, chi esce, quando, con chi e seguendo quali percorsi.

I responsabili della sicurezza di qualsiasi organizzazione dovrebbero, quindi, condurre un inventario completo dei dispositivi di videosorveglianza, verificare le versioni firmware, cambiare le credenziali di default e isolare la rete CCTV in una VLAN dedicata non raggiungibile dal resto dell’infrastruttura IT.

Inoltre, è opportuno abilitare la crittografia del flusso video e verificare verso quali destinazioni vengono trasmessi i dati.

Il “pattern of life” è il vero asset da proteggere

Quello che il Mossad ha costruito su Khamenei, abitudini, orari, relazioni, routine, è esattamente ciò che un attaccante sofisticato costruisce su un CEO o su un dirigente prima di sferrare un attacco mirato, sia fisico sia informatico.

La threat intelligence moderna funziona proprio così: prima si osserva, si correla e si analizza. Solo dopo aver raccolto tutte le informazioni utili, si agisce.

Questo suggerisce l’importanza di implementare politiche di formazione sulla cosiddetta “contro-sorveglianza” per i ruoli chiave aziendali prevedendo modifiche continue negli orari di spostamento, nei percorsi seguiti e nelle routine quotidiane.

Così come altrettanto importante è ridurre l’esposizione pubblica delle abitudini comportamentali dei decision maker anche sui social media, in quanto rappresentano informazioni preziose che spesso costituiscono una fonte OSINT di straordinario valore per un avversario.

La supply chain dei sistemi fisici è il nuovo perimetro

I sistemi di videosorveglianza di molte organizzazioni si basano su hardware e software di vendor la cui provenienza e integrità non sempre viene verificata con il rigore necessario.

Backdoor certificate, vulnerabilità note non corrette, dipendenze da infrastrutture cloud di fornitori non europei: sono condizioni che amplificano la superficie di attacco in modo sistemico.

Alla luce di ciò, occorre avviare una revisione della supply chain tecnologica dei sistemi fisici (CCTV, access control, building management), applicando gli stessi criteri di due diligence già in uso per i sistemi IT, magari allineandosi alle indicazioni del DPCM del 30 aprile 2025 sugli acquisti ICT strategici e ai requisiti NIS2 per la gestione del rischio nella catena di fornitura.

La convergenza OT/IT/PT è il nuovo campo di battaglia

Il caso Teheran è anche un esempio perfetto di attacco che attraversa simultaneamente tre domini: IT (sistemi informatici), OT (sistemi operativi e di controllo) e PT (physical technology, ovvero i dispositivi fisici connessi).

Questa convergenza è la nuova normalità anche nelle aziende dove impianti produttivi connessi alla rete aziendale, building automation integrata con l’IT e dispositivi IoT che comunicano direttamente con il cloud sono ormai la normale quotidianità.

Dunque, è fondamentale una mappatura dei punti di contatto tra IT, OT e sistemi fisici, accompagnata dall’implementazione di soluzioni di monitoraggio del traffico di rete in grado di rilevare anomalie nei pattern di comunicazione.

L’adozione di queste soluzioni dovrebbe garantire che un flusso video cifrato verso server non autorizzati faccia scattare immediatamente un alert nel SIEM aziendale.

Il jamming delle comunicazioni come vettore d’attacco

Il sabotaggio dei ripetitori mobili nell’area dell’operazione non è un dettaglio secondario: dimostra che un avversario sufficientemente motivato può neutralizzare le comunicazioni di emergenza prima ancora che l’attacco principale abbia luogo.

Per le organizzazioni con infrastrutture critiche, questo si traduce in un rischio concreto di blackout delle comunicazioni nei momenti di crisi.

Per questo motivo, occorre prevedere canali di comunicazione ridondanti e non esclusivamente basati su telefonia mobile nei piani di Business Continuity e Incident Response. Nessun valido piano di continuità operativa può assumere che le telecomunicazioni siano sempre disponibili.

Risk management: la valutazione del rischio residuo

Dal punto di vista della gestione del rischio, il caso iraniano ci ricorda una verità scomoda: il rischio zero non esiste e un avversario con risorse sufficienti e un orizzonte temporale pluriennale può aggirare qualunque difesa singola.

La risposta corretta non è il fatalismo, ma la riduzione sistematica della superficie di attacco e l’aumento del costo operativo per l’attaccante. In termini di framework, si tratta di applicare coerentemente i principi di defense in depth, least privilege e zero trust anche ai sistemi fisici, non solo a quelli IT.

Per le organizzazioni che operano in contesti ad alto rischio, come potrebbero essere le infrastrutture critiche, la PA centrale, le aziende di difesa o gli operatori soggetti a NIS2, il messaggio è inequivocabile: ogni sistema connesso alla rete è potenzialmente un sensore nelle mani di un avversario.

La domanda da porsi non è: “siamo stati attaccati?”, ma “da quanto tempo qualcuno ci sta osservando senza che ce ne siamo accorti?”.

Ciò significa che il piano di risposta non può essere elaborato nel momento dell’emergenza, ma deve essere già operativo, testato e noto a tutte le funzioni aziendali coinvolte.

Iran, super attacchi cyber: massima allerta per le aziende italiane

La sorveglianza si è capovolta

La storia delle telecamere di Teheran racconta qualcosa di profondamente emblematico dell’era in cui viviamo. Sistemi progettati per sorvegliare la popolazione sono stati trasformati in strumenti di sorveglianza contro chi li controllava. La tecnologia non ha orientamento etico intrinseco: è un amplificatore di capacità, nel bene e nel male.

Per i professionisti della cyber security, questo caso è insieme un monito e un manuale operativo. La lezione non è che dobbiamo avere paura, ma che dobbiamo smettere di considerare la videosorveglianza, l’IoT industriale e i sistemi fisici connessi come domini separati dalla sicurezza informatica. Sono la stessa cosa. Vanno presidiati con la stessa serietà, gli stessi processi e la stessa cultura della sicurezza.

Perché domani, quello che il Mossad ha fatto a Teheran, qualcun altro potrebbe farlo alle infrastrutture delle nostre aziende. Con obiettivi diversi, ma con gli stessi strumenti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Paolo Tarsitano
Editor Cybersecurity360.it

Ingegnere informatico, formatore, esperto di cyber security e consulente privacy. Da un po’ di tempo ormai condivide le sue conoscenze scrivendo e divulgando articoli di informatica e tecnologia per aiutare lettori e curiosi a costruirsi una coscienza critica sul mondo hi-tech che ci circonda. Cittadino digitale a tempo pieno, appena può si diverte con le altre due sue grandi passioni: il modellismo e i fumetti.

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • Privacy e sostenibilità

  • il provvedimento

    Privacy e sostenibilità: la protezione dei dati non si sospende per mancanza di budget

    17 Giu 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • Grokking tecnica malvertising

  • l'analisi tecnica

    Grokking: quando l’intelligenza artificiale diventa un’arma dei malvertiser

    09 Set 2025

    di Salvatore Lombardo

    Condividi
  • Visibilità e sicurezza ecosistema IoT sanitario

  • cybersecurity360 awards

    Longwave e ASST Sette Laghi: visibilità e sicurezza per l’ecosistema IoT sanitario

    25 Set 2025

    Condividi
0
Lascia un commento, la tua opinione conta.x