کمیته رکن چهارم – آمازون اعلام کرد یک هکر روسزبان در قالب کارزاری پنجهفتهای و با بهرهگیری گسترده از سرویسهای هوش مصنوعی مولد، بیش از ۶۰۰ فایروال FortiGate را در ۵۵ کشور نقض کرده است؛ آن هم بدون استفاده از هیچ آسیبپذیری روز-صفر.
به گزارش کمیته رکن چهارم، «سیجی موزس» مدیر ارشد امنیت اطلاعات بخش امنیت یکپارچه آمازون اعلام کرد این حملات بین ۱۱ ژانویه تا ۱۸ فوریه ۲۰۲۶ انجام شده و مهاجم بهجای سوءاستفاده از اکسپلویت، رابطهای مدیریتی در معرض اینترنت و گذرواژههای ضعیف بدون MFA را هدف قرار داده است.
دستگاههای آسیبدیده در مناطق مختلفی از جمله جنوب آسیا، آمریکای لاتین، کارائیب، غرب آفریقا و بخشهایی از اروپا و جنوب شرق آسیا شناسایی شدهاند.
نفوذ بدون اکسپلویت؛ فقط با رمز ضعیف
مهاجم با اسکن پورتهای مدیریتی رایج FortiGate مانند ۴۴۳ و ۸۴۴۳، دستگاههای در معرض اینترنت را شناسایی و با حملات brute-force وارد آنها شد. پس از دسترسی، فایلهای پیکربندی استخراج شدند؛ فایلهایی که شامل اطلاعات حساس از جمله:
اعتبارنامههای SSL-VPN
رمزهای مدیریتی
سیاستهای فایروال
پیکربندیهای IPsec
توپولوژی و مسیرهای داخلی شبکه
بودند.
این دادهها سپس با ابزارهای نوشتهشده به زبان Python و Go که نشانههای واضحی از تولید یا کمکگرفته از مدلهای زبانی داشتند، تحلیل و رمزگشایی شدند.
ردپای هوش مصنوعی در ابزارهای حمله
آمازون اعلام کرد کدهای مهاجم دارای ویژگیهایی رایج در خروجی LLMها بودند؛ از جمله توضیحات تکراری، معماری ساده و پردازش ابتدایی دادهها. هرچند ابزارها در محیطهای سختسازیشده کارایی بالایی نداشتند، اما برای اهداف ضعیف کاملاً کافی بودند.
پس از اتصال VPN، مهاجم ابزارهای شناسایی سفارشی مستقر میکرد که جدولهای مسیریابی را تحلیل، شبکهها را طبقهبندی و سرویسهای حیاتی مانند SMB، کنترلرهای دامنه و HTTP را اسکن میکردند. اسناد عملیاتی روسیزبان نیز شامل راهنمای استفاده از Meterpreter، mimikatz و حملات DCSync برای استخراج هشهای NTLM بودند.
در برخی موارد، زیرساختهای Veeam Backup نیز هدف قرار گرفتهاند؛ اقدامی که معمولاً مقدمه اجرای باجافزار و مختلکردن بازیابی دادههاست.
ارسال توپولوژی کامل شبکه به مدلهای زبانی
بر اساس تحقیقات تکمیلی، مهاجم از یک چارچوب سفارشی به نام ARXON استفاده میکرد که دادههای شناسایی شبکه را به مدلهای زبانی تجاری مانند Claude و DeepSeek ارسال میکرد. این سامانه بهعنوان واسط، اطلاعات شبکه قربانی را به LLM تزریق و خروجی تحلیلی برای برنامهریزی حرکت جانبی تولید میکرد.
در یک مورد، توپولوژی کامل شبکه شامل IP، نام میزبان و حتی اعتبارنامهها برای دریافت راهنمای گسترش نفوذ به سرویس هوش مصنوعی ارسال شده بود.
همچنین ابزاری به نام CHECKER2 هزاران هدف VPN را بهصورت موازی اسکن کرده و لاگها نشاندهنده بیش از ۲۵۰۰ هدف بالقوه در بیش از ۱۰۰ کشور بوده است.
ضریبافزای مهاجمان
آمازون معتقد است مهارت فنی مهاجم در سطح پایین تا متوسط بوده، اما استفاده از هوش مصنوعی توان عملیاتی او را بهطور چشمگیری افزایش داده است. مدلهای زبانی برای تولید اسکریپت، برنامهریزی حرکت جانبی، مستندسازی حمله و حتی پیشنهاد مسیر دستیابی به Domain Admin مورد استفاده قرار گرفتهاند.
این کارزار نشان میدهد هوش مصنوعی مولد در حال تبدیل شدن به یک «تقویتکننده قدرت» برای مهاجمان است؛ ابزاری که فاصله مهارتی را کاهش میدهد و حملات فرصتطلبانه را در مقیاس جهانی ممکن میکند.
توصیههای امنیتی آمازون
آمازون برای کاهش ریسک چنین حملاتی توصیه کرده است:
عدم افشای رابط مدیریتی FortiGate به اینترنت
فعالسازی احراز هویت چندمرحلهای (MFA)
استفاده نکردن از گذرواژههای مشترک بین VPN و Active Directory
سختسازی سامانههای پشتیبانگیری
پایش ایجاد حسابهای VPN و فعالیتهای SSH
این حادثه بار دیگر نشان میدهد در بسیاری از موارد، ضعفهای پایهای مانند گذرواژههای ضعیف و نبود MFA همچنان خطرناکتر از آسیبپذیریهای پیچیده روز-صفر هستند — بهویژه وقتی هوش مصنوعی در خدمت مهاجم قرار گیرد.
