Готовые инструменты помогли русскоязычной группе киберпреступников устроить погром, скомпрометировав сотни межсетевых экранов FortiGate с помощью генеративного ИИ. — theregister.com
Согласно новому отчету об инциденте от AWS, киберпреступники, вооруженные готовыми инструментами генеративного ИИ, скомпрометировали более 600 межсетевых экранов FortiGate, доступных из интернета, в 55 странах всего за месяц.
Кампания, проводившаяся с середины января по середину февраля, в меньшей степени полагалась на изощренные уязвимости нулевого дня и в большей — на эквивалент попыток открыть каждую цифровую дверную ручку, но на машинной скорости, с невидимой помощью ИИ.
AWS сообщает, что финансово мотивированная русскоязычная группировка, стоявшая за кампанией, сканировала открытые интерфейсы управления FortiGate, пробовала часто используемые или слабые учетные данные, а затем выгружала конфигурационные файлы после проникновения, получая тем самым карту сетей жертв.
Команда безопасности облачного гиганта утверждает, что злоумышленник использовал несколько коммерческих инструментов ИИ для генерации сценариев атак, скриптов и оперативных заметок, что фактически позволило относительно низкоквалифицированной группе провести кампанию, которая ранее потребовала бы больше людей или времени. Следователи даже обнаружили доказательства кода и артефактов планирования, сгенерированных ИИ, на скомпрометированной инфраструктуре, что указывает на то, что инструменты были встроены во весь рабочий процесс, а не использовались только для отдельных скриптов.
“Объем и разнообразие пользовательских инструментов обычно указывают на хорошо обеспеченную команду разработчиков”, — заявил Си Джей Мозес, директор по информационной безопасности Amazon. “Вместо этого один злоумышленник или очень небольшая группа сгенерировала весь этот набор инструментов с помощью разработки с поддержкой ИИ”.
После взлома межсетевого экрана злоумышленники извлекали конфигурационные файлы, содержащие учетные данные администратора и VPN, сведения о топологии сети и правила брандмауэра. Оттуда они проникали глубже в среды, нацеливаясь на Active Directory, извлекая учетные данные и зондируя пути для бокового перемещения. В список целей также попали системы резервного копирования, включая серверы Veeam.
AWS отмечает, что наблюдаемые инструменты были функциональными, но “сырыми”, с упрощенной логикой разбора и избыточными комментариями, что наводит на мысль о том, что черновик был написан машиной. Это, однако, не помешало им быть достаточно эффективными для широкой автоматизации, хотя злоумышленники, как сообщается, склонны были отказываться от целей, оказывающих слишком сильное сопротивление, и переходить к более легким, что подтверждает идею о том, что выигрышной стратегией был объем, а не изящество.
Географически активность была скорее оппортунистической, чем строго целенаправленной: жертвы были разбросаны по нескольким регионам, включая части Европы, Азии, Африки и Латинской Америки. Кластеры активности указывали на то, что некоторые компрометации могли обеспечить доступ к поставщикам управляемых услуг или более крупным общим средам, усиливая последующие риски.
Отчет в значительной степени опирается на идею о том, что базовая гигиена — отключение интерфейсов управления от публичного интернета, принудительное использование многофакторной аутентификации и отказ от повторного использования паролей — пресекла бы большую часть активности до ее начала.
Эти выводы появились всего через несколько недель после того, как Google предупредила, что преступники все чаще встраивают генеративный ИИ непосредственно в свои операции, включая собственный чат-бот Gemini AI, для выполнения задач от разведки и профилирования целей до фишинга и разработки вредоносного ПО. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page