Amazon предупреждает о масштабной кибератаке: русскоязычный хакер с помощью генеративного ИИ взломал более 600 межсетевых экранов FortiGate в 55 странах за 5 недель. Использовались слабые пароли и открытые интерфейсы. — bleepingcomputer.com
Amazon предупреждает, что русскоязычный хакер использовал несколько генеративных ИИ-сервисов в рамках кампании, в результате которой за пять недель было скомпрометировано более 600 межсетевых экранов FortiGate в 55 странах.
В новом отчете CJ Moses, CISO Amazon Integrated Security, говорится, что
хакерская кампания произошла в период с 11 января по 18 февраля 2026
года и не полагалась на какие-либо эксплойты для взлома брандмауэров
Fortinet. Вместо этого злоумышленник нацелился на открытые интерфейсы управления и слабые учетные данные без защиты MFA, а затем использовал ИИ для автоматизации доступа к другим устройствам в скомпрометированной сети.
Мозес заявил, что взломанные межсетевые экраны были обнаружены в Южной Азии, Латинской Америке, на Карибах, в Западной Африке, Северной Европе и Юго-Восточной Азии, среди прочих регионов.
Кампания взлома с использованием ИИ
Amazon узнал о кампании после обнаружения сервера, на котором размещались вредоносные инструменты, использовавшиеся для атак на межсетевые экраны Fortinet FortiGate.
В рамках этой кампании злоумышленник нацелился на интерфейсы управления FortiGate, доступные из Интернета, путем сканирования служб, работающих на портах 443, 8443, 10443 и 4443. Сообщается, что атаки были оппортунистическими, а не против каких-либо конкретных отраслей.
Вместо использования уязвимостей нулевого дня, как мы обычно видим при атаках на устройства FortiGate, злоумышленник использовал атаки методом перебора с распространенными паролями для получения доступа к устройствам.
После взлома злоумышленник извлек конфигурационные параметры устройства, которые включают:
- Учетные данные пользователей SSL-VPN с восстанавливаемыми паролями
- Административные учетные данные
- Политики межсетевого экрана и архитектура внутренней сети
- Конфигурации IPsec VPN
- Топология сети и информация о маршрутизации
Затем эти файлы конфигурации были проанализированы и расшифрованы с использованием инструментов на Python и Go, предположительно, с помощью ИИ.
«После получения доступа к сетям жертв через VPN злоумышленник развертывает собственный инструмент для разведки, с различными версиями, написанными как на Go, так и на Python», — пояснили в Amazon.
«Анализ исходного кода выявляет явные признаки разработки с помощью ИИ: избыточные комментарии, которые просто повторяют имена функций, упрощенную архитектуру с непропорциональным вложением средств в форматирование вместо функциональности, наивный разбор JSON путем сопоставления строк вместо правильной десериализации и совместимость встроенных функций языка с пустыми заглушками документации».
«Хотя инструменты функциональны для конкретного случая использования злоумышленника, им не хватает надежности, и они сбоят в пограничных случаях — характеристики, типичные для кода, сгенерированного ИИ, используемого без существенной доработки».
Эти инструменты использовались для автоматизации разведки в скомпрометированных сетях путем анализа таблиц маршрутизации, классификации сетей по размеру, сканирования портов с помощью сканера gogo с открытым исходным кодом, идентификации SMB-хостов и контроллеров домена, а также использования Nuclei для поиска HTTP-сервисов.
Исследователи отмечают, что, хотя инструменты были функциональными, они часто давали сбой в более защищенных средах.
Операционная документация на русском языке подробно описывала, как использовать Meterpreter и mimikatz для выполнения атак DCSync против контроллеров домена Windows и извлечения хешей паролей NTLM из базы данных Active Directory.
Кампания также была специально нацелена на серверы Veeam Backup & Replication с использованием пользовательских скриптов PowerShell, скомпилированных инструментов для извлечения учетных данных и попыток эксплуатации уязвимостей Veeam.
На одном из серверов, обнаруженных Amazon (212[.]11.64.250), злоумышленник разместил скрипт PowerShell с именем «DecryptVeeamPasswords.ps1», который использовался для атак на приложение для резервного копирования.
Как объясняет Amazon, злоумышленники часто атакуют инфраструктуру резервного копирования перед развертыванием программ-вымогателей, чтобы предотвратить восстановление зашифрованных файлов из резервных копий.
«Операционные заметки» злоумышленников также содержали многочисленные упоминания о попытках эксплуатации различных уязвимостей, включая CVE-2019-7192 (QNAP RCE), CVE-2023-27532 (Veeam раскрытие информации) и CVE-2024-40711 (Veeam RCE).
В отчете говорится, что злоумышленник неоднократно терпел неудачу при попытках взлома пропатченных или закрытых систем, но вместо того, чтобы продолжать попытки доступа, он переходил к более легким целям.
Хотя Amazon считает, что уровень навыков злоумышленника низкий или средний, этот уровень значительно усиливался за счет использования ИИ.
Исследователи утверждают, что злоумышленник использовал по крайней мере двух поставщиков услуг больших языковых моделей на протяжении всей кампании для:
- Генерации пошаговых методологий атак
- Разработки пользовательских скриптов на нескольких языках программирования
- Создания фреймворков для разведки
- Планирования стратегий бокового перемещения
- Составления операционной документации
В одном случае злоумышленник якобы представил полную топологию внутренней сети жертвы, включая IP-адреса, имена хостов, учетные данные и известные службы, в ИИ-сервис и попросил помощи в дальнейшем проникновении в сеть.
Amazon заявляет, что кампания демонстрирует, как коммерческие ИИ-сервисы снижают порог входа для злоумышленников, позволяя им осуществлять атаки, которые обычно были бы за пределами их уровня навыков.
Компания рекомендует администраторам FortiGate не открывать интерфейсы управления в Интернете, обеспечить включение MFA, убедиться, что пароли VPN отличаются от паролей для учетных записей Active Directory, и усилить защиту инфраструктуры резервного копирования.
Google недавно сообщал, что злоумышленники злоупотребляют Gemini AI на всех этапах кибератак, что перекликается с наблюдениями Amazon в этой кампании.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams