AWS сообщает о компрометации более 600 межсетевых экранов FortiGate в результате атаки с использованием искусственного интеллекта.

Детали атаки из отчета AWS об инциденте

Команды безопасности AWS задокументировали кампанию с середины января до середины февраля 2026 года, в ходе которой русскоязычные киберпреступники скомпрометировали более 600 межсетевых экранов FortiGate в 55 странах. Злоумышленники использовали коммерческие инструменты генеративного ИИ для создания сценариев атак, скриптов и рабочих заметок, что позволило относительно низкоквалифицированной группе провести операцию, которая обычно требует больше ресурсов.

Методология атаки

Кампания была сосредоточена на сканировании открытых интерфейсов управления FortiGate в публичном интернете. Затем злоумышленники пытались использовать часто повторяющиеся или слабые учетные данные. Попав внутрь, они извлекали файлы конфигурации, содержащие:

• Учетные данные администратора и VPN
• Детали топологии сети
• Правила межсетевого экрана

Оттуда они продвигались глубже в среды, нацеливаясь на Active Directory, извлекая учетные данные и исследуя возможности для горизонтального перемещения. Также были атакованы системы резервного копирования, включая серверы Veeam.

Характеристики инструментов ИИ

AWS отметила, что инструменты, сгенерированные ИИ, были функциональными, но неотшлифованными, с упрощенной логикой парсинга и избыточными комментариями, указывающими на машинно-сгенерированный код. Инструменты были встроены во весь рабочий процесс, а не использовались лишь для случайного скриптования. CJ Moses, директор по информационной безопасности Amazon, отметил: "Объем и разнообразие пользовательских инструментов обычно указывают на хорошо обеспеченную команду разработчиков. Вместо этого один актор или очень небольшая группа сгенерировала весь этот набор инструментов с помощью ИИ-ассистированной разработки."

Шаблоны атак и защита

Злоумышленники, как правило, оставляли цели, оказывающие сопротивление, и переходили к более уязвимым, делая ставку на объем, а не на изощренность. Активность была географически оппортунистической, а не строго целенаправленной, с жертвами по всей Европе, Азии, Африке и Латинской Америке. Некоторые компрометации могли обеспечить доступ к управляемым сервис-провайдерам или более крупным общим средам, усиливая последующие риски.

AWS подчеркнула, что базовая гигиена безопасности предотвратила бы большинство компрометаций:

• Не выносите интерфейсы управления в публичный интернет
• Внедрите многофакторную аутентификацию
• Избегайте повторного использования паролей

Эти выводы следуют за недавними предупреждениями Google о том, что преступники все чаще интегрируют генеративный ИИ непосредственно в операции, включая использование Gemini AI для разведки, профилирования целей, фишинга и разработки вредоносного ПО.