طبق گزارش AWS، بیش از 600 فایروال FortiGate در یک کمپین هوش مصنوعی محور (AI-Powered) هک شدهاند. این حملات بهطور خاص از پورتهای مدیریتی باز و اعتبارنامههای ضعیف برای دسترسی به دستگاههای FortiGate بهره بردهاند و هیچ آسیبپذیری شناختهشدهای در آنها هدف قرار نگرفته است. این کمپین هوش مصنوعی محور بین تاریخهای 11 ژانویه تا 18 فوریه 2026 رخ داده و بر پیکربندیهای آسیبپذیر فایروالهای FortiGate در سراسر جهان متمرکز بوده است.
اسکن و دسترسی اولیه به فایروالهای FortiGate
مهاجمان در ابتدا از پورتهای مدیریتی باز مانند 443، 8443، 10443 و 4443 سوءاستفاده کرده و با اعتبارنامههای پیشفرض و عمومی به دستگاههای FortiGate دسترسی پیدا کردند. این حملات توسط یک مهاجم با توان فنی متوسط انجام شده و از چندین سرویس تجاری هوش مصنوعی برای اجرای تکنیکهای حمله شناختهشده استفاده شده است.
AWS گزارش کرده است که حملات بهطور فرصتطلبانه و مبتنی بر اسکن خودکار انجام شدند که هدف آنها شناسایی پیکربندیهای آسیبپذیر در دستگاههای FortiGate بود.
گسترش حمله و حرکت جانبی در شبکه با FortiGate
مهاجمان پس از دسترسی اولیه از ابزارهای متنباز تهاجمی برای استخراج NTLM password hashها و انجام حملات Pass-the-Hash و Pass-the-Ticket برای حرکت جانبی در شبکه استفاده کردند. این حملات باعث شدند که نفوذ به شبکههای وسیعتری صورت گیرد. AWS همچنین گزارش داده که این حملات در 55 کشور مختلف شناسایی شدند و در برخی موارد، چندین دستگاه FortiGate متعلق به یک سازمان واحد مورد حمله قرار گرفتند.
اهداف فرعی و آمادهسازی برای باجافزار
یکی از اهداف اصلی مهاجمان در این کمپین، سرورهای Veeam Backup & Replication بودند. مهاجمان این سرورها را هدف قرار دادند تا اعتبارنامههای اضافی استخراج کرده و پشتیبانها را از بین ببرند. این اقدام زمینه را برای حملات باجافزار فراهم میکند که نشان میدهد این حملات ممکن است به مرحله نهایی حملات هدفمند و باجافزار وارد شده باشند. در این روند، FortiGate بهعنوان یکی از اهداف اصلی برای دسترسی به شبکهها و سرورها قرار دارد، زیرا مهاجمان به دنبال آسیب رساندن به سیستمهای امنیتی و استخراج اطلاعات حساس هستند.
نقش هوش مصنوعی در طراحی و اجرای حملات سایبری
مهاجمان در این کمپین هوش مصنوعی محور از مدلهای LLM تجاری استفاده کردند تا حملات خود را طراحی کرده و ابزارهای خود را تولید کنند. این ابزارها بهطور خودکار به تحلیل پیکربندیها، استخراج اعتبارنامهها و اسکنهای وسیع شبکه کمک میکنند. AWS تأکید میکند که این حملات توسط یک مهاجم روسیزبان با توان فنی پایین تا متوسط و با استفاده از هوش مصنوعی برای خودکارسازی فرآیندها انجام شدهاند.
جمعبندی: تهدیدات هوش مصنوعی محور علیه فایروالهای FortiGate
این حملات نشاندهنده استفاده گسترده از هوش مصنوعی در حملات سایبری است. مهاجمان با کمک هوش مصنوعی توانستهاند حملات پیچیدهای را طراحی کرده و عملیات خود را بهصورت خودکار انجام دهند. این تهدیدات بهویژه برای سازمانها و شرکتهایی که از فایروالهای FortiGate استفاده میکنند، هشدار بزرگی محسوب میشود.
