Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
589 подписчиков

ИИ-усиленные атаки на FortiGate: кампания 2026 года и меры защиты

9 мин
Дело даже не в том, что злоумышленники стали умнее. Дело в том, что дурак с доступом к ChatGPT сегодня страшнее, чем хакер-одиночка пять лет назад. И я сейчас не преувеличиваю. В начале этого года произошла история, которая заставила меня лично пересмотреть подход к защите периметра. С 11 января по 18 февраля 2026 года — всего за месяц с небольшим — какой-то парень (по почерку явно не гений, а просто методичный пользователь ИИ) получил доступ более чем к 600 устройствам FortiGate по всему миру. 55 стран. 600 корпоративных фаерволов. И знаете, что он использовал? Не 0-day уязвимости, не сложные эксплойты, а тупой перебор паролей, который ИИ помог ему масштабировать. Честно говоря, когда я увидел эти цифры, у меня глаз дергался минут пять. Потому что это не просто статистика. Это звонок. Очень громкий. Давайте сразу к делу. Искусственный интеллект в руках киберпреступников — это не про Терминатора. Это скучнее и страшнее одновременно. Представьте конвейер на заводе Tesla, только вместо
Оглавление
Хронология и масштаб (600+ устройств, 55 стран)
Хронология и масштаб (600+ устройств, 55 стран)

😱 600 взломанных FortiGate за месяц: как ИИ превратил кибератаки в конвейер и почему вы уже опоздали с защитой

Дело даже не в том, что злоумышленники стали умнее. Дело в том, что дурак с доступом к ChatGPT сегодня страшнее, чем хакер-одиночка пять лет назад. И я сейчас не преувеличиваю.

В начале этого года произошла история, которая заставила меня лично пересмотреть подход к защите периметра. С 11 января по 18 февраля 2026 года — всего за месяц с небольшим — какой-то парень (по почерку явно не гений, а просто методичный пользователь ИИ) получил доступ более чем к 600 устройствам FortiGate по всему миру. 55 стран. 600 корпоративных фаерволов. И знаете, что он использовал? Не 0-day уязвимости, не сложные эксплойты, а тупой перебор паролей, который ИИ помог ему масштабировать.

Честно говоря, когда я увидел эти цифры, у меня глаз дергался минут пять. Потому что это не просто статистика. Это звонок. Очень громкий.

🤖 Искусственный интеллект как оружие массового поражения

Давайте сразу к делу. Искусственный интеллект в руках киберпреступников — это не про Терминатора. Это скучнее и страшнее одновременно. Представьте конвейер на заводе Tesla, только вместо автомобилей — взломанные сети.

Раньше, чтобы атаковать 600 компаний, хакеру нужна была команда. Или годы автоматизации своими руками. Теперь один человек садится за комп, открывает несколько коммерческих сервисов генеративного ИИ и выстраивает конвейер:

  1. Поиск целей — ИИ скрапит Shodan и Censys быстрее любого сисадмина
  2. Подбор паролей — нейросетки анализируют типичные корпоративные паттерны
  3. Эскалация привилегий — ИИ подсказывает, куда бить дальше, на лету анализируя архитектуру
  4. Заметание следов — автоматическая ротация прокси и методов обхода

И вот тут самое интересное. В том конкретном случае с FortiGate злоумышленник даже не трогал уязвимости. Он просто искал открытые интерфейсы управления в интернете (это до сих пор делают компании, вы не поверите) и долбился туда с типичными паролями. По моим наблюдениям, в 40% случаев срабатывает «admin:admin» или «admin:password». Люди не меняются.

По правде, это раздражает. Потому что мы, специалисты, городим сложные системы защиты, EDR, NGFW, а проблема часто оказывается в том, что админка фаервола торчит наружу с дефолтным паролем. И теперь ИИ позволяет находить такие «подарки» за секунды.

🔥 Как ИИ превращает слабый пароль в полную компрометацию сети

Теперь давайте разберем, что происходило после того, как злоумышленник заходил на устройство. Это как если бы грабитель подобрал ключ к двери подъезда, а потом оказалось, что внутри все квартиры тоже открыты.

Получив доступ к FortiGate, ИИ-ассистированный хакер выгружал полные конфигурации.

А там, извините, вся жизнь компании:

  • Учетные данные VPN
  • Схема сети с подсетями
  • Хэши паролей пользователей
  • Параметры маршрутизации

Дальше начинается мясо. Используя эту информацию, злоумышленник проникал во внутреннюю инфраструктуру. И вот где ИИ реально показал себя. В документации, которую нашли после этой кампании (да, он вел документацию, представляете уровень педантичности?), были описаны сценарии применения Meterpreter с модулем mimikatz для атаки DCSync.

Если говорить по-человечески: он выкачивал базы хэшей паролей из Active Directory, как будто это общедоступная библиотека. А дальше — pass-the-hash, перехват NTLM-аутентификации, и вот он уже бродит по вашей сети, как у себя дома.

Что любопытно, особое внимание уделялось серверам Veeam Backup & Replication. Я сам работал с этими системами и знаю, что туда часто складывают все привилегированные учетки. Компрометация Veeam — это смертельный номер. Потому что потом злоумышленник может уничтожить резервные копии прямо перед запуском шифровальщика. И у вас не останется ничего.

На практике всё чуть сложнее, конечно. Но когда за спиной хакера стоит ИИ, который в реальном времени подсказывает: «Слушай, а почему бы тебе не проверить вот этот сервер? Там по косвенным признакам может лежать бекап», — это превращает защиту в ад.

🛡️ Почему стандартные подходы уже не работают

Я часто общаюсь с CISO из российских компаний. И знаете, что меня беспокоит? Многие до сих пор живут в парадигме 2018 года. «Мы поставили антивирус Касперского, закрыли порты, настроили политики — значит, мы защищены». Нет, ребята. В 2026 это не работает.

Посмотрите на ту кампанию с FortiGate. Компании, которые:

  • закрыли доступ к управлению из интернета
  • обновили прошивки
  • внедрили MFA (многофакторку)
  • использовали сложные пароли

...в большинстве случаев остались целы. Но проблема в том, что даже соблюдение всех этих правил сегодня не гарантия. Потому что атаки становятся умнее быстрее, чем вы обновляете политики.

Это как проверить проводку ночью: всё тихо, пока не искрит. И когда искрит — обычно уже поздно.

📊 10 правил кибербезопасности 2026 (проверено на своей шкуре)

После того инцидента с FortiGate я пересмотрел подход к защите в нашей компании. Собрал команду, мы проговорили ночь, родили вот такой список. Это не выдумки из учебников — это то, что реально останавливает атаки сегодня.

Правило 1. Закройте админку от интернета

Звучит банально? А вы проверьте. Я гарантирую, что у 30% читающих это есть устройство с веб-интерфейсом, торчащим наружу. Искусственный интеллект найдет его за 15 минут. Просто отключите удаленное управление или загоните его в VPN.

Правило 2. Обновляйтесь, блин

Знаю, звучит как заезженная пластинка. Но посмотрите статистику: 90% успешных атак используют известные уязвимости, под которые уже есть патчи. Вендоры выпускают обновления, а компании их не ставят, потому что «сломается». Сломается от атаки — будет хуже.

Правило 3. Пароли должны быть сложными, но это полбеды

Современные ИИ умеют подбирать пароли на основе анализа соцсетей, дат рождения, кличек собак. Используйте генераторы. И меняйте их, когда люди увольняются. По моему опыту, учетки бывших сотрудников — это черный ход, о котором все забывают.

Правило 4. MFA везде, где можно

Если у вас нет двухфакторной аутентификации на входе в админку — вы сами напросились. Да, это неудобно. Да, пользователи ноют. Но представьте, как они будут ныть, когда все их файлы зашифруют.

Правило 5. Аудит — это не про ФСТЭК, это про выживание

Раз в квартал проверяйте, что у вас открыто наружу. Используйте те же инструменты, что и хакеры. Shodan, Censys, сканеры уязвимостей. Посмотрите на свою сеть глазами злоумышленника.

Правило 6. IDS/IPS — не роскошь

Системы обнаружения вторжений должны видеть не только сигнатуры, но и аномалии. ИИ на стороне атакующих требует ИИ на стороне защиты. Современные NGFW уже умеют в поведенческий анализ — включайте эти функции.

Правило 7. Люди — самый слабый элемент

Сколько раз я видел: крутая защита, а сотрудник переходит по ссылке из письма «Срочно смени пароль». Обучайте. Рассказывайте. Пугайте. Показывайте реальные кейсы.

Правило 8. План реагирования должен быть, и его надо тестировать

Не просто бумажка для проверяющих, а реальный документ. С телефонами, с доступом, с ролями. И раз в полгода — учения. Поверьте, в стрессовой ситуации без практики вы вспомните только мат.

Правило 9. Тестирование на проникновение — найди слабое место до хакеров

Заказывайте пентесты у профессионалов. Но не тех, кто пишет отчеты «все хорошо». Нанимайте тех, кто реально ломает. Жестко. С вашего разрешения, конечно.

Правило 10. EDR и XDR — это база

Антивирус умер. Сегодня нужны решения, которые видят поведение, анализируют цепочки атак, реагируют автоматически. Российские продукты уже умеют это — используйте.

🎯 А вы проверяли телефон финансового директора за последние 90 дней?

Кстати, о людях. Знаете, что сейчас тренд? Атаки через мессенджеры. Телефон финдиректора — это золотая жила. Там и переписка с бухгалтерией, и доступ к банку, и фотки паспортов. А защищено это часто пин-кодом «1111».

Если вы CISO банка или крупной компании — задайте себе вопрос: когда в последний раз мы проверяли мобильные устройства ключевых сотрудников на наличие шпионского ПО? Я молчу про мессенджеры — там вообще дичь творится.

🔧 Инструменты, которые реально используют злоумышленники (и мы тоже)

В той самой документации, которую оставил взломщик FortiGate, нашли список инструментов. Давайте пройдемся, чтобы вы понимали, с чем имеете дело:

  • Meterpreter — продвинутая полезная нагрузка для Metasploit. Позволяет делать всё: от перехвата экрана до кражи паролей
  • Mimikatz — легендарная софтина для извлечения паролей из памяти Windows. Работает до сих пор, потому что Microsoft не может закрыть все векторы
  • DCSync — атака на контроллер домена. Выглядит как легитимная репликация, поэтому IDS часто пропускают
  • Pass-the-hash — метод, при котором вы не знаете пароль, но знаете хэш, и этого достаточно для входа
  • NTLM relay — перехват аутентификации и передача её на другой сервер

Список, конечно, неполный. Но суть вы уловили. Всё это открыто лежит в интернете. Любой школьник с ChatGPT может скачать и попробовать. И пробуют, поверьте.

Российская специфика: 152-ФЗ и КИИ

Если вы работаете в России, у вас есть дополнительный уровень ответственности. 152-ФЗ о персональных данных и 187-ФЗ о КИИ (критической информационной инфраструктуре) — это не просто страшилки. За утечки данных теперь сажают. Буквально.

По моим наблюдениям, после 2022 года количество атак на российские компании выросло в разы. Целенаправленные атаки, шифровальщики, шпионаж. И злоумышленники активно используют ИИ для анализа российской инфраструктуры. Они читают наши форумы, изучают типовые конфигурации 1С, смотрят, какие билды Windows популярны.

Честно скажу: требования регуляторов иногда кажутся избыточными. Но в контексте современных атак они начинают обретать смысл. Резервное копирование по 187-ФЗ, защита персданных по 152-ФЗ — это именно то, что спасает, когда приходит беда.

❓ Часто задаваемые вопросы (и честные ответы)

Вопрос: Какие уязвимости чаще всего используют злоумышленники?
Если коротко — человеческую лень. Открытые порты, слабые пароли, забытые учетки. Технические уязвимости — на втором месте, но их закрывают патчами. А лень не закроешь обновлением.

Вопрос: Какие инструменты самые опасные?
Те, которые маскируются под легитимную активность. Например, PowerShell-скрипты, которые тянутся с удаленных серверов. Или легитимные админские тулзы, используемые во вред.

Вопрос: Какие технологии защиты реально работают?
EDR (Endpoint Detection and Response) с поведенческим анализом. Сетевые сенсоры, которые видят аномалии. И сегментация сети — чтобы, даже зайдя на один компьютер, хакер не мог прыгнуть на другие.

Вопрос: Как часто надо проводить аудит?
Формально — раз в год. Реально — непрерывно. Мониторинг должен быть 24/7. Аудит конфигураций — ежеквартально.

Вопрос: Что делать, если атака уже произошла?
Не паниковать, отключать пораженные сегменты, вызывать специалистов. И не платить выкуп — в 50% случаев данные не расшифровывают даже после оплаты.

📌 10 правил 2026 (коротко и с примерами)

  1. Админка не в интернете — пример: FortiGate с веб-мордой наружу = приглашение хакерам
  2. Обновления в день выхода — Spectre, Meltdown, Log4j учим быстро
  3. Пароль не «Осень2026» — генератор, менеджер, сложность
  4. МФА на всё — даже на вход в почту
  5. Аудит каждый квартал — ищите себя в Shodan
  6. IDS/IPS в бой — сигнатуры + аномалии
  7. Ученье — свет — фишинговые тесты для сотрудников
  8. План Б — реагирование на инциденты с телефонами
  9. Пентест раз в полгода — ломайте себя сами
  10. EDR на каждом устройстве — антивирус не катит

══════

🚨 Нужна помощь?

Честно, я написал эту статью не чтобы напугать. Хотя, если немного испугались — уже хорошо. Страх в кибербезопасности работает, если он конструктивный.

Если после прочтения вы поняли, что:

  • не проверяли свои устройства на открытые порты
  • не знаете, что там с паролями у сотрудников
  • подозреваете, что кто-то уже мог залезть
  • или просто хотите провести аудит мобильных устройств и мессенджеров

...то давайте работать.

Оставьте заявку на бесплатную консультацию на сайте: https://securedefence.ru/

══════

Больше материалов: Центр знаний SecureDefence.