Компания Trend Micro опубликовала исследование «Uncovering IoT Threats in the Cybercrime Underground», в котором описывается, как киберкриминальные группировки используют устройства IoT в своих целях и какие угрозы это создаёт.

Аналитики Trend Micro исследовали даркнет, выясняя, какие уязвимости IoT наиболее популярны среди киберпреступников, а также на каких языках говорят участники киберподполья. В ходе исследования выяснилось, что русский язык вошёл в пятёрку наиболее популярных в Даркнете. Кроме русского в топ-5 языков даркнета присутствуют английский, португальский, испанский и арабский. В отчёте представлен анализ пяти киберпреступных сообществ, классифицированных в соответствии с языками, которые они используют для общения. Язык оказался более важным объединяющим фактором, чем географическое положение.

Интернет вещей стал важной частью современного общества. Рост количества устройств IoT делает их желанной целью для киберпреступников, формируя новый ландшафт угроз. Производители зачастую потворствуют киберпреступникам, выпуская изделия без каких-либо функций обеспечения безопасности. В результате такие устройства пополняют ряды очередного ботнета и работают на благо киберкриминала.

Главная движущая сила, управляющая действиями киберпреступного сообщества — это деньги. В связи с этим хакеры рассматривают уязвимости IoT не сами по себе, а в контексте возможной монетизации. Именно поэтому в исследовании основное внимание уделяется не уязвимостям и атакам, а бизнес-моделям, которые используют преступные сообщества.

Русскоязычный киберкриминальный рынок, по данным Trend Micro — самый сложный и самый процветающий из всех, приведённых в исследовании. Здесь продаются свежие уязвимости для маршрутизаторов, модифицированные прошивки для счётчиков электроэнергии. Здесь обсуждают взлом бензоколонок, продают и покупают ботнеты на базе устройств IoT.

Среди основных направлений монетизации взломанных устройств IoT в исследовании выделяют их использование для организации DDoS-атак и в качестве узлов выхода VPN. В обоих случаях преступники продают свои услуги другим участникам сообщества.

Большой интерес среди русскоговорящего андерграунда вызывают криптомайнеры для устройств на базе Android, причём речь не о смартфонах, ограниченная ёмкость батарей которых не позволяет использовать их для извлечения прибыли, а о смарт-телевизорах, приставках и других устройствах.

Российские хакеры активно ищут возможности модификации и продажи специализированных прошивок для интеллектуальных счётчиков газа, воды и электричества, поскольку российское правительство недавно санкционировало замену всех коммунальных счетчиков на умные, подключённые к интернету. Судя по сообщениям на форумах, пока имеется лишь один план монетизации — физически продавать модифицированные счётчики как средство экономии на ежемесячных коммунальных счетах за электроэнергию, воду и газ. Возможно, в будущем взлом интеллектуальных счётчиков станет новым способом криминального заработка, но на текущий момент взлом этих устройств больше похож на хактивизм, чем на профессиональные атаки.

В качестве итога специалисты Trend Micro делятся прогнозом связанных с IoT угроз на ближайшие 12-18 месяцев:

1. Уменьшение количества взломанных маршрутизаторов, поскольку большая часть атак связана с изменением настроек DNS, которые легко предотвратить. Если интернет-провайдеры и производители роутеров начнут защищать эти настройки, возможно появление новых векторов атак.
2. Рост числа атак на промышленные устройства интернета вещей (IIoT), причём в качестве вектора монетизации будет использоваться вымогательство.
3. Появление новых инструментальных средств для проведения атак на IoT/IIoT и рост популярности двух основных коммерческих наборов вредоносных программ для IoT.
4. Появление более сложных угроз, таких как низкоуровневые руткиты или заражение микропрограммного обеспечения.
5. Новые оригинальные способы монетизации заражения смарт-устройств.
6. Развитие экосистемы автоматизированных атак.