Согласно данным экспертов компании «Информзащита» за первый квартал 2026 года, число зафиксированных атак на устройства интернета вещей (IoT) возросло приблизительно на 11%, достигнув отметки в 589,4 миллиона. В корпоративном сегменте IoT охватывает такие устройства, как камеры видеонаблюдения, сетевые видеорегистраторы, разнообразные датчики, терминалы, телеметрическое оборудование, сервисные шлюзы и прочую технику, интегрированную в бизнес-процессы. Эту информацию представители «Информзащиты» сообщили изданию CNews.
Подобная среда привлекает злоумышленников как для массовых автоматизированных атак, так и в качестве промежуточного этапа для дальнейшего развития вторжения.
Основу массовых атак на IoT по-прежнему составляет семейство Mirai и его вариации. Исходный код этого ботнета стал общедоступным еще в 2016 году, что привело к появлению десятков его модификаций. Среди наиболее известных можно выделить Satori, который в разное время заразил более 260 тысяч маршрутизаторов, и Aisuru, связываемый с одной из самых мощных DDoS-атак объемом 15,7 Тбит/с, отраженной сервисом Azure DDoS Protection в конце октября 2025 года. Общий принцип работы этих семейств остается неизменным уже почти десять лет: массовое сканирование публичных IP-адресов по портам Telnet, SSH и веб-интерфейсам управления, подбор типовых учетных данных, автоматическая эксплуатация известных уязвимостей в прошивках с последующей загрузкой вредоносного модуля под архитектуру конкретного устройства.
Увеличение числа срабатываний обусловлено прежде всего тем, что расширение IoT-инфраструктуры опережает развитие процессов ее администрирования. Во многих организациях устройства этого класса не включены в единую систему инвентаризации, управления конфигурациями и контроля уязвимостей. Для традиционных ИТ-активов подобные процедуры, как правило, формализованы, тогда как для камер, промышленных контроллеров, инженерной автоматики и сетевой периферии они либо отсутствуют вовсе, либо применяются лишь частично. Вследствие этого уязвимые узлы могут оставаться в рабочем контуре длительное время, а риск их компрометации накапливается без должной реакции со стороны владельца инфраструктуры.
Значительная часть успешных заражений объясняется довольно ограниченным набором типичных проблем. К ним относятся жестко прописанные (захардкоженные) учетные данные в прошивках, открытые сервисы Telnet и SSH с заводскими паролями, отсутствие механизмов автоматического обновления, использование устаревших библиотек и компонентов без установленных патчей. Типичный сценарий компрометации в корпоративной среде выглядит следующим образом. Сетевая IP-камера с заводскими логином и паролем попадает в ботнет. Через нее атакующий получает точку входа в сегмент сети и начинает разведку соседних систем. Далее возможен перебор учетных данных на сервисах в смежных подсетях, эксплуатация уязвимостей сетевого оборудования, попытки горизонтального перемещения к серверной инфраструктуре. В этой цепочке сама камера не представляет ценности, но служит удобной точкой опоры, которая остается вне поля зрения корпоративных средств защиты.
На характер угроз также влияет экономическая составляющая самих атак. Широкомасштабные кампании, направленные на IoT-устройства, отличаются невысокой стоимостью реализации, хорошей масштабируемостью и способностью охватывать большое количество целей без значительного роста расходов. В ход идут автоматические сканеры, стандартные комбинации логинов и паролей, общедоступная информация об известных уязвимостях, а также инфраструктура для управления скомпрометированными девайсами. Первое направление касается массового применения зараженных устройств: их интеграция в ботнеты, проведение распределенных атак, использование для проксирования вредоносного трафика. Второе направление связано с целенаправленным продвижением злоумышленника внутри конкретной сети: сбор данных о топологии сети и подготовка к перемещению к более критичным системам. Именно поэтому даже те устройства, которые не хранят конфиденциальную информацию, остаются важной частью общей поверхности атаки.
Продолжительный жизненный цикл оборудования создает еще один постоянный источник риска. Множество устройств эксплуатируются дольше, чем изначально предполагал производитель, и в таких условиях известные уязвимости остаются актуальными на протяжении гораздо более длительного времени.
Наиболее ярко эта тенденция проявляется в промышленности, на долю которой приходится 24% корпоративных сценариев, связанных с рисками компрометации IoT. Данный сектор характеризуется высокой концентрацией технологических устройств, длительными циклами обновления и необходимостью удаленного обслуживания. Ритейл составляет 18% из-за использования систем видеонаблюдения, кассового оборудования, складской автоматизации и систем учета посетителей. Логистика и транспорт занимают 16%, так как телематика, трекеры, шлюзы и оборудование на распределенных площадках формируют насыщенную и разнородную среду. Доля энергетики и ЖКХ равна 14%, что обусловлено большим числом удаленных объектов, контроллеров и диспетчерских систем. На здравоохранение приходится 11%, где медицинская техника и связанные с ней сервисные системы часто обновляются с большой задержкой. Коммерческая недвижимость и умные офисы дают 9%. Оставшиеся 8% приходятся на образовательные и прочие отрасли с распределенной инфраструктурой.
«Во многих организациях основное внимание уделяется серверам, рабочим станциям и периметру, в то время как камеры, контроллеры, шлюзы и другие специализированные узлы обслуживаются по остаточному принципу. В такой конфигурации одно слабо защищенное устройство может стать точкой для закрепления в инфраструктуре, обхода базовых ограничений и дальнейшего развития атаки», – отметил Анатолий Песковский, руководитель направления анализа защищенности Центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты».
Особый комплекс задач возникает на стыке Интернета вещей и объектов критической информационной инфраструктуры. В промышленности, энергетике и медицине специализированные устройства нередко относятся к значимым объектам КИИ и подпадают под действие 187-ФЗ и приказа ФСТЭК № 239. Однако на деле требования этих нормативных актов не в полной мере распространяются на камеры, контроллеры, шлюзы и инженерное оборудование. Как отмечает ФСТЭК, в 2025 году при проверках свыше 700 объектов КИИ было зафиксировано порядка 1100 нарушений профильного законодательства, причем значительную долю составляют проблемы с неполной инвентаризацией подключенных устройств. Ужесточение нормативных требований прогнозируется в связи с распространением обязанностей по информационной безопасности на подрядчиков значимых объектов КИИ, а также благодаря обновленной нормативной базе для государственных информационных систем, которая вступила в силу в 2026 году.
Чтобы снизить риски, IoT-среду необходимо интегрировать в общий контур информационной безопасности наравне с другими категориями активов. Это подразумевает полный учет всех подключенных устройств, отказ от стандартных заводских паролей, регулярную проверку конфигураций, сегментацию сети, ограничение удаленного доступа, контроль за действиями подрядчиков и мониторинг подозрительной активности. Для компаний с разветвленной инфраструктурой особенно важно иметь актуальные данные о составе устройств, их сетевых связях и разрешенных каналах передачи данных. По оценке экспертов «Информзащиты», в 2026 году количество инцидентов, связанных с атаками на устройства интернета вещей, может возрасти еще на 7–9%. Наиболее вероятно это в отраслях, где много специализированного оборудования, оно эксплуатируется длительное время, а процессы его обслуживания недостаточно зрелы. Для бизнеса это сигнал: IoT необходимо рассматривать как полноценный источник киберрисков, способный повлиять на стабильность всей инфраструктуры.
