超600臺FortiGate防火墻遭AI增強型網絡攻擊

據AWS最新事件報告顯示，網絡犯罪分子利用現成的生成式AI工具，在一個多月內成功入侵了分布在55個國家的600多臺互聯網暴露的FortiGate防火墻。

這次攻擊活動從1月中旬持續到2月中旬，攻擊者并非依賴復雜的零日漏洞，而是采用類似"逐一嘗試數字門把手"的方式，只不過以機器速度執行，背后有AI提供輔助。

AWS表示，這個以經濟利益為動機的俄語犯罪團伙掃描暴露的FortiGate管理界面，嘗試常用或弱密碼憑據，一旦成功入侵就會獲取配置文件，從而獲得受害者網絡的路線圖。

該云服務巨頭的安全團隊發現，攻擊者使用多種商業AI工具生成攻擊手冊、腳本和操作說明，這使得技能相對較低的團伙能夠執行原本需要更多人力或時間的攻擊活動。調查人員甚至在被入侵的基礎設施上發現了AI生成的代碼和規劃文件，表明這些工具貫穿整個工作流程，而不僅僅用于偶爾的腳本編寫。

"工具的數量和多樣性通常表明背后有資源充足的開發團隊，"亞馬遜首席信息安全官CJ Moses表示，"但實際上，是單個攻擊者或極小的團體通過AI輔助開發生成了整套工具包。"

一旦防火墻被破解，攻擊者就會提取包含管理員和VPN憑據、網絡拓撲詳情和防火墻規則的配置文件。隨后，他們會深入環境內部，攻擊Active Directory，轉儲憑據，并尋找橫向移動的方法。備份系統，包括Veeam服務器，也在他們的目標清單上。

AWS表示，觀察到的工具雖然功能完整但制作粗糙，具有簡單的解析邏輯和表明機器編寫初稿的冗余注釋。盡管如此，這些工具對于大規模自動化攻擊仍然足夠有效，不過據報告，犯罪分子傾向于放棄阻力較大的目標，轉向更容易攻破的目標，這強化了數量勝過技巧的策略理念。

從地理分布來看，這次攻擊活動是機會主義的而非精確定向的，受害者遍布多個地區，包括歐洲、亞洲、非洲和拉丁美洲的部分地區。活動集群表明，一些入侵可能已經獲得了托管服務提供商或更大共享環境的訪問權限，放大了下游風險。

該報告強調，基本的安全衛生措施——如將管理界面從公共互聯網上移除、強制實施多因子認證以及避免密碼重復使用——本可以在攻擊開始之前就阻止大部分活動。

這一發現出現在谷歌警告犯罪分子越來越多地將生成式AI直接融入其操作的幾周之后，包括使用其自己的Gemini AI聊天機器人執行從偵察和目標分析到釣魚和惡意軟件開發等各種任務。

Q&A

Q1：FortiGate防火墻遭受的這次網絡攻擊有什么特點？

A：這次攻擊的最大特點是犯罪分子使用了生成式AI工具來增強攻擊能力。攻擊者利用AI生成攻擊手冊、腳本和操作說明，使得原本需要高技能和大團隊的攻擊活動能夠由單個攻擊者或小團體完成。攻擊規模龐大，在一個多月內成功入侵了55個國家的600多臺防火墻。

Q2：攻擊者是如何利用生成式AI進行網絡攻擊的？

A：攻擊者使用多種商業AI工具來生成完整的攻擊工具包，包括攻擊手冊、惡意腳本和操作文檔。AI工具貫穿整個攻擊工作流程，不僅用于編寫代碼，還用于制定攻擊策略和規劃。調查人員在被入侵的系統中發現了AI生成的代碼和規劃文件，證明AI已經深度融入攻擊活動中。

Q3：如何防范類似的AI增強型網絡攻擊？

A：報告強調基本的網絡安全衛生措施就能有效防范此類攻擊。主要包括：將管理界面從公共互聯網上移除，避免直接暴露在外；強制實施多因子認證，增加攻擊難度；避免使用重復或弱密碼。這些基礎防護措施本可以在攻擊開始之前就阻止大部分攻擊活動。