В России наблюдается всплеск случаев, когда бывшие в употреблении бытовые приборы оказываются инфицированы вредоносным программным обеспечением. Такие устройства с опасной "начинкой" появляются на рынке б/у товаров, и их новые владельцы зачастую не догадываются, что недавно приобретенный ноутбук, робот-пылесос или кофемашина могут скрывать в себе зловредный код. Злоумышленники применяют подобные гаджеты для организации распределенных атак на отказ в обслуживании (DDoS).
На отечественном рынке подержанной электроники сложилась серьезная ситуация — потребители все чаще сообщают о том, что купленная ими техника содержит предустановленное вредоносное ПО. Это затрагивает не только ПК и ноутбуки, где проблему обычно решает переустановка ОС, а в редких случаях — обновление микропрограммы BIOS, и даже не только смартфоны, которые можно вернуть к заводским параметрам.
Киберпреступники освоили технологию внедрения опасного софта непосредственно в прошивки бытовых устройств. Подобные программы все чаще выявляют, например, в памяти роботов-пылесосов и кофейных автоматов.
Целью взломщиков зачастую является не столько хищение личных данных пользователей, сколько включение зараженных девайсов в состав бот-сетей. Впоследствии эта цифровая "армия" задействуется для масштабных DDoS-атак — множество российских организаций на протяжении последних четырех лет систематически сталкиваются с подобными атаками от злоумышленников.
Как сообщают "Известия", пользователи делятся информацией об этой проблеме на профильных форумах и ресурсах, посвященных вопросам кибербезопасности.
Есть вероятность, что продавцы зараженных устройств сами не в курсе наличия в них чужеродного опасного программного кода. Однако эксперты, опрошенные изданием, допускают, что торговля такой техникой может вестись целенаправленно, с целью увеличения собственной бот-сети.
Такой точки зрения, в частности, придерживается руководитель продуктовой группы "Гарда Anti-DDoS" компании "Гарда" Вадим Солдатенков. По его словам, злоумышленник закупает партию бюджетных устройств, интегрирует в их прошивку вредоносное ПО, а затем размещает объявления о продаже на вторичном рынке.
Итог таков: ничего не подозревающий покупатель приобретает внешне исправный прибор и начинает им пользоваться. Как только устройство получает доступ в интернет, хакерская бот-сеть пополняется еще одним узлом.
Данная схема полностью теряет эффективность, если не предоставлять технике доступ в сеть. Самостоятельно подключиться к интернету устройства смогут лишь при наличии поблизости незащищенной паролем беспроводной сети.
Схему с закупкой новых устройств, установкой на них вредоносного ПО и последующей перепродажей наблюдали не все эксперты по информационной безопасности. Например, с подобными случаями не сталкивались специалисты "Лаборатории Касперского", как заявил представитель компании Дмитрий Калинин.
Основатель компании DLBI, занимающейся поиском утечек данных и отслеживанием активности в даркнете, Ашот Оганесян разделяет эту точку зрения. В комментарии для издания он отметил, что «заражать устройства при ремонте или перепродаже — слишком хлопотно и нецелесообразно».
«Ботнеты приносят злоумышленникам мизерный доход с каждого отдельного устройства и становятся рентабельными лишь при захвате десятков или сотен тысяч гаджетов. Иногда недобросовестные продавцы действительно устанавливают троянские программы на телефоны и компьютеры перед продажей, однако такие вредоносные коды обычно нацелены на кражу данных из банковских приложений, а не на включение устройства в ботнет», — пояснил эксперт.
Тем не менее, Оганесян признаёт, что заражённые устройства действительно встречаются в продаже. По его мнению, это происходит исключительно в промышленных масштабах — либо на заводе при производстве и установке прошивок, либо ещё на этапе их разработки.
Такая возможность вполне реальна. В мае 2023 года CNews рассказывал о появлении в России и других странах десятков тысяч телевизионных приставок со зловредным ПО, которое мошенники внедряли непосредственно в процессе изготовления.
В октябре 2023 года CNews , что владельцев подобных устройств могут привлечь к уголовной ответственности сразу по нескольким статьям УК РФ — ст. 272 (неправомерный доступ к компьютерной информации), ст. 273 (создание, использование и распространение вредоносных компьютерных программ) и, теоретически, по ст. 274.1 (неправомерное воздействие на критическую информационную инфраструктуру РФ) или ст. 274.2 (нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности работы интернета и сети связи общего пользования в России). Максимальное наказание по первым двум статьям достигает семи лет лишения свободы, по третьей — десяти лет, по четвёртой — трёх лет.
«Завод заказывает прошивку у стороннего подрядчика, который и встраивает вирус. В результате некоторые сборки Android могут стать частью ботнета ещё до того, как пользователь распакует устройство», — рассказал «Известиям» начальник аналитического отдела компании Servicepipe Антон Чемякин.
Эти данные подтверждают и в «Лаборатории Касперского». «К примеру, бэкдор (скрытый механизм для несанкционированного доступа, — прим. CNews) Kimwolf был обнаружен в прошивках ряда Android-приставок. Известны случаи, когда небезопасная конфигурация встроенного ПО приводила к заражению Kimwolf и другими похожими бэкдорами», — заявил изданию Дмитрий Калинин.
Он также привёл пример из весны 2025 года, когда «Лаборатория Касперского» обнаружила новую версию бэкдора Triada. Он был вшит в прошивку контрафактных устройств, продававшихся на известных онлайн-площадках.
Со своей стороны, Антон Чемякин рекомендовал проявлять особую осторожность в отношении бюджетных моделей смартфонов от непопулярных производителей.
Бунт домашних устройств
Как отметил Чемякин, злоумышленники всё чаще атакуют не только телефоны и компьютеры, которые относительно легко очистить от вредоносного кода. Их мишенями становятся «умные» бытовые приборы с доступом к Wi-Fi — начиная от электрочайников и кофемашин и заканчивая роботами-пылесосами и цифровыми фоторамками.
По оценке Даниила Глушакова, аналитика центра мониторинга киберугроз «Спикател», всплеск жалоб пользователей в России на вредоносные программы в феврале может объясняться двумя ключевыми факторами. Первый — это повышение цифровой грамотности населения, в том числе в сфере применения антивирусных решений.
Второй фактор — увеличение мощи ботнетов. «Для проведения DDoS-атак им требуется всё больше непреднамеренных «помощников», — пояснил эксперт в беседе с «Известиями», сославшись на пример ботнета Kimwolf. В его состав входило более 1,8 млн устройств, включая различную бытовую технику.
Как отмечает Вадим Солдатенков, владельцы бывших в употреблении заражённых гаджетов могут долгое время не подозревать о наличии в них вредоносного программного обеспечения. Наиболее уязвимыми, по его словам, остаются маршрутизаторы, сетевые хранилища (NAS), IP-камеры и прочие устройства из экосистемы интернета вещей.
«Подобные устройства традиционно считаются слабым местом в системе киберзащиты, поскольку производители зачастую не уделяют должного внимания их безопасности. Кроме того, большинство инцидентов происходит с устаревшими моделями, для которых компания-изготовитель уже прекратила выпуск обновлений и патчей», — сообщил он «Известиям».
«Ситуацию осложняет то, что покупатели поддержанной электроники редко проводят полную «санитарную» проверку устройства перед его использованием», — добавил в разговоре с изданием проджект-менеджер MD Audit (ГК Softline) Кирилл Левкин.
