Количество срабатываний по атакам на IoT-устройства приблизилось к 590 млн

Основу массовой эксплуатации IoT продолжает формировать семейство Mirai и его производные. Исходный код этого ботнета находится в открытом доступе с 2016 года, что породило десятки модификаций. Среди наиболее заметных можно назвать Satori, в разное время заражавший свыше 260 тыс. маршрутизаторов, и Aisuru, с которым связывают одну из крупнейших DDoS-атак мощностью 15,7 Тбит/с, отраженную Azure DDoS Protection в конце октября 2025 года. Общий принцип работы этих семейств сохраняется на протяжении почти десяти лет: массовое сканирование публичных адресов по портам Telnet, SSH и веб-интерфейсам управления, перебор типовых учетных данных, автоматическая эксплуатация известных уязвимостей в прошивках с последующей загрузкой модуля под архитектуру жертвы.

Рост числа срабатываний связан прежде всего с тем, что расширение IoT-инфраструктуры происходит быстрее, чем развитие процессов ее администрирования. Во многих компаниях устройства этого класса не включены в единый порядок инвентаризации, управления конфигурациями и контроля уязвимостей. Для традиционных ИТ-активов подобные процедуры обычно формализованы, тогда как в отношении камер, промышленных контроллеров, инженерной автоматики и сетевой периферии они либо отсутствуют, либо применяются фрагментарно. В результате уязвимые узлы могут сохраняться в продуктивном контуре в течение длительного времени, а риск их компрометации накапливается без должной реакции со стороны владельца инфраструктуры.

Значительная часть успешных заражений объясняется достаточно ограниченным набором типовых проблем. Это захардкоженные учетные данные в прошивках, открытые сервисы Telnet и SSH с заводскими паролями, отсутствие механизмов автоматического обновления, использование устаревших библиотек и компонентов без патчей. Типичный сценарий компрометации в корпоративной среде выглядит следующим образом. Сетевая IP-камера с дефолтным логином попадает в ботнет. Через нее атакующий получает точку присутствия в сегменте и начинает разведку смежных систем. Далее возможны перебор учетных данных на сервисах в соседних подсетях, эксплуатация уязвимостей сетевого оборудования, попытки горизонтального перемещения к серверной инфраструктуре. В этой цепочке сама камера не представляет ценности, но служит удобной опорой, выпадающей из-под наблюдения корпоративных средств защиты.

Дополнительное влияние оказывает экономика самих атак. Массовые кампании против IoT-устройств относительно недороги в реализации, хорошо масштабируются и позволяют обрабатывать значительное количество целей без существенного увеличения затрат. Для этого используются автоматизированные инструменты сканирования, наборы типовых учетных данных, публично доступные сведения об известных уязвимостях и инфраструктура управления зараженными устройствами. Первый блок связан с массовым использованием зараженных устройств: включение в ботнеты, организация распределенных атак, проксирование вредоносного трафика. Второй блок связан с точечным продвижением атакующего внутри конкретной инфраструктуры: сбор сведений о внутренней архитектуре сети и подготовка дальнейшего движения к более значимым системам.По этой причине даже устройства, не содержащие критичных данных, остаются значимым элементом общей поверхности атаки.

Длительный срок эксплуатации оборудования формирует еще один устойчивый фактор риска. Многие устройства продолжают использоваться дольше первоначально предусмотренного цикла поддержки со стороны производителя, в подобных условиях известные уязвимости сохраняют практическую актуальность значительно дольше.

Наиболее заметно эта тенденция затрагивает промышленность, на которую приходится 24% корпоративных сценариев, связанных с рисками IoT-компрометации. Для этого сегмента характерны высокая плотность технологических устройств, длительные циклы обновления и зависимость от удаленного обслуживания. На ритейл приходится 18% за счет видеонаблюдения, кассовой периферии, складской автоматизации и систем учета посетителей. Логистика и транспорт занимают 16%, поскольку телематика, трекеры, шлюзы и оборудование на распределенных площадках формируют насыщенную и неоднородную среду. Доля энергетики и ЖКХ составляет 14% на фоне значительного числа удаленных объектов, контроллеров и диспетчерских систем. На здравоохранение приходится 11%, где медицинская техника и сопутствующие сервисные системы часто работают в консервативном режиме обновления. Коммерческая недвижимость и умные офисы дают 9%. Оставшиеся8% приходятся на образовательные и прочие отрасли с распределенной инфраструктурой.

Отдельный пласт задач связан с пересечением IoT-сегмента и объектов критической информационной инфраструктуры. Для промышленности, энергетики и здравоохранения специализированные узлы часто входят в состав значимых объектов КИИ и попадают под требования 187-ФЗ и приказа ФСТЭК № 239. На практике распространение этих требований на камеры, контроллеры, шлюзы и инженерные устройства остается неполным. По данным ФСТЭК, в 2025 году при проверках более 700 объектов КИИ было выявлено около 1100 нарушений профильного законодательства, и слабая инвентаризация подключенного оборудования занимает среди них заметное место. Дополнительное усиление требований ожидается в связи с распространением обязательств по ИБ на подрядчиков значимых объектов КИИ, а также за счет обновленной нормативной базы для государственных информационных систем, вступившей в силу в 2026 году.

Для минимизации рисков IoT-среда должна быть включена в общий контур информационной безопасности на тех же основаниях, что и другие категории активов. Это предполагает полную инвентаризацию подключенных устройств, отказ от заводских учетных данных, регулярную оценку конфигураций, сегментацию сетевого взаимодействия, ограничение удаленного доступа, контроль действий подрядчиков и мониторинг аномальной активности. Для компаний с распределенной инфраструктурой особое значение имеет наличие актуального представления о составе устройств, их сетевых связях и допустимых каналах обмена. По прогнозу экспертов "Информзащиты", в 2026 году количество срабатываний по атакам на устройства интернета вещей может увеличиться еще на 7–9%. Наиболее вероятен такой сценарий в отраслях с большим числом специализированного оборудования, длительным сроком его эксплуатации и недостаточной зрелостью процессов сопровождения. Для бизнеса это означает необходимость рассматривать IoT как полноценный источник киберриска, способный повлиять на устойчивость всей инфраструктуры.