A AWS relata que ataque aprimorado por IA comprometeu mais de 600 firewalls FortiGate

Detalhes do ataque do relatório de incidente da AWS

As equipes de segurança da AWS documentaram uma campanha de meados de janeiro a meados de fevereiro de 2026 em que cibercriminosos de língua russa comprometeram mais de 600 firewalls FortiGate em 55 países. Os atacantes usaram ferramentas comerciais de IA generativa para gerar playbooks de ataque, scripts e notas operacionais, permitindo que um grupo com habilidades relativamente baixas executasse o que normalmente exigiria mais recursos.

Metodologia do ataque

A campanha focou em escanear interfaces de gerenciamento do FortiGate expostas na internet pública. Os atacantes então tentaram credenciais comumente reutilizadas ou fracas. Uma vez dentro, eles extraíram arquivos de configuração contendo:

• Credenciais de administrador e VPN
• Detalhes da topologia da rede
• Regras de firewall

A partir daí, eles avançaram mais profundamente nos ambientes, visando o Active Directory, extraindo credenciais e sondando oportunidades de movimento lateral. Sistemas de backup, incluindo servidores Veeam, também foram alvos.

Características das ferramentas de IA

A AWS observou que as ferramentas geradas por IA eram funcionais, mas com imperfeições, com lógica de análise simplista e comentários redundantes sugerindo código gerado por máquina. As ferramentas foram incorporadas em todo o fluxo de trabalho, em vez de serem usadas apenas para scripts ocasionais. CJ Moses, CISO da Amazon, observou: "O volume e a variedade de ferramentas personalizadas normalmente indicariam uma equipe de desenvolvimento bem equipada. Em vez disso, um único ator ou um grupo muito pequeno gerou todo esse kit de ferramentas por meio de desenvolvimento assistido por IA."

Padrões de ataque e defesa

Os atacantes tendiam a abandonar alvos que ofereciam resistência e passar para outros mais vulneráveis, enfatizando volume em vez de sofisticação. A atividade foi geograficamente oportunista, em vez de altamente direcionada, com vítimas na Europa, Ásia, África e América Latina. Alguns comprometimentos podem ter permitido acesso a provedores de serviços gerenciados ou ambientes compartilhados maiores, amplificando o risco subsequente.

A AWS enfatizou que a higiene básica de segurança teria evitado a maioria dos comprometimentos:

• Mantenha as interfaces de gerenciamento fora da internet pública
• Impõe autenticação multifator
• Evite a reutilização de senhas

As descobertas seguem avisos recentes do Google sobre criminosos integrando cada vez mais IA generativa diretamente em operações, incluindo o uso do Gemini AI para reconhecimento, perfilamento de alvos, phishing e desenvolvimento de malware.