Ponad 600 instancji zapory sieciowej Fortinet FortiGate zostało zhakowanych w ramach kampanii opartej na sztucznej inteligencji, wykorzystującej odsłonięte porty i słabe dane uwierzytelniające. Poinformował o tym AWS.
Ataki, zaobserwowane między 11 stycznia a 18 lutego, nie były ukierunkowane na znane luki w zabezpieczeniach. Zamiast tego koncentrowały się na wykorzystaniu ujawnionych konfiguracji w rozproszonych globalnie urządzeniach.
Według AWS kampania została przeprowadzona przez mało zaawansowanego cyberprzestępcę, który wykorzystał wiele komercyjnych usług sztucznej inteligencji do wdrożenia znanych technik ataku.
Zaobserwowano, iż haker skanował interfejsy zarządzania dostępne za pośrednictwem portów 443, 8443, 10443 i 4443, używając wspólnych danych uwierzytelniających do wstępnego dostępu.
„Cel kampanii wydaje się raczej oportunistyczny niż sektorowy, co jest zgodne z automatycznym masowym skanowaniem podatnych urządzeń” – zauważa AWS.
W niektórych przypadkach naruszono wiele urządzeń FortiGate należących do tej samej organizacji. AWS twierdzi, iż niektóre klastry IP wskazują albo na wdrożenia dostawców usług zarządzanych, albo na duże sieci organizacyjne.
Zagrożone urządzenia zidentyfikowano w 55 krajach Afryki, Azji, Ameryki Łacińskiej i Północnej oraz Europy. Po udanym ataku hakerzy wykorzystali ofensywne narzędzia open source do wyodrębnienia skrótów haseł NTLM, uzyskania kompletnych baz danych uwierzytelniających domen i poruszania się w atakach typu pass-the-hash/pass-the-ticket.
Przestępcy zaatakowali również serwery Veeam Backup & Replication, prawdopodobnie w celu wyodrębnienia dodatkowych danych uwierzytelniających i zniszczenia kopii zapasowych w ramach przygotowań do akcji ransomware. Według AWS hakerzy wykorzystali co najmniej dwa komercyjne systemy LLM do zaplanowania ataków, wygenerowania narzędzi i wsparcia operacji, w tym do oceny czasu trwania i skuteczności. Całość raportu dostępna jest tutaj.
„Te plany odwołują się do badań naukowych nad ofensywnymi agentami AI, sugerując, iż aktor podąża za pojawiającymi się publikacjami na temat testów penetracyjnych wspomaganych przez AI. AI generuje technicznie poprawne sekwencje poleceń, ale aktor ma trudności z adaptacją, gdy warunki różnią się od planu” – zauważa AWS.
W infrastrukturze aktora ataku AWS zidentyfikował wiele skryptów, prawdopodobnie wygenerowanych przy użyciu AI, używanych do analizowania konfiguracji, wyodrębniania danych uwierzytelniających, automatyzacji połączeń VPN, przeprowadzania masowego skanowania i agregowania wyników.
„Ilość i różnorodność niestandardowych narzędzi zwykle wskazywałyby na dobrze wyposażony zespół programistów. Zamiast tego pojedynczy aktor lub bardzo mała grupa stworzyła cały ten zestaw dzięki rozwojowi wspomaganemu przez AI” – twierdzi AWS.
Ataki, jak zauważa AWS, zostały prawdopodobnie przeprowadzone przez motywowanego finansowo rosyjskojęzycznego aktora o niskich lub średnich możliwościach technicznych, na co wskazuje rozległe wykorzystanie AI na wszystkich etapach operacyjnych.
Jeśli chcesz wiedzieć więcej o atakach na Fortinet, zobacz nasze archiwum.
