ロシア語を話す脅迫行為者が、1月と2月に55か国でMISコンフィギュレーションされたファイアウォールを持つ組織へのサイバー攻撃を計画、管理、実施するためにAIを使用しました。Amazon研究者によると。
1月11日から2月18日の間に発生した600以上のFortinet FortiGateデバイスの侵害は、技術的な脆弱性を利用しなかった点で注目されます。Amazon Web Servicesの脅威インテリジェンスチームが2月20日のブログ投稿で説明しました。
「代わりに、このキャンペーンは露出した管理ポートと単一要素認証の弱い認証情報を利用することで成功しました。これらは基本的なセキュリティギャップであり、AIが未洗練な行為者がスケール規模で利用するのを支援しました」とAmazon統合セキュリティのチーフインフォメーションセキュリティオフィサーであるCJ Mosesはブログ投稿に書きました。
ハッカーまたはハッカーグループは複数の生成型AIツールを使用して、「技術的な能力が限定的であるにもかかわらず、操作のあらゆる段階を通じてよく知られた攻撃技法を実装およびスケーリングしました」とMosesは書きました。
Amazonは、脅迫行為者がロシア政府で働いていると信じておらず、代わりに「AI拡張を通じて、以前は大幅に大規模でより熟練したチームが必要だったであろう運用規模を達成した、経済的動機を持つ個人または小規模なグループ」と説明しています。
このレポートは、AIツールが支援することができるという最新の証拠を表しており、未洗練なハッカーが脆弱またはMISコンフィギュレーションされたデバイスまたは不安全なソフトウェアを実行している組織に深刻な脅威を与えることができることを示しています。
この場合、AIツールは脅迫行為者が複数の犠牲者のActive Directory環境に侵入し、パスワードデータベースを盗み、バックアップシステムに感染させようとするのを支援しました。Amazonはこれがランサムウェア攻撃を開始する意図の兆候である可能性があると述べています。
「注目すべきことに、この行為者が強化された環境またはより洗練された防御対策に遭遇したとき、彼らは単に粘り強く対応するのではなく、より弱いターゲットに移行しました」とMosesは書きました。「これは彼らの利点がより深い技術スキルではなく、AI拡張効率性とスケール性にあることを強調しています。」
自動化された支援による機会主義的キャンペーン
脅迫行為者は世界中の組織を標的にし、特定の国または業界への関心がほとんどないことを示しました。攻撃の唯一の明白な共通点は、犠牲者が使用するインターネットアクセス可能なFortiGateファイアウォールでした。これらのデバイスはされてきたハッカーの頻繁なターゲット最近数か月です。これらのデバイスを構成するファイルは「高い価値のターゲット」を表しています。Mosesは述べました。管理者アカウント認証情報、ネットワーク設計情報、およびその他の機密データを保存しているためです。
「脅迫行為者は、これらの盗まれた構成を解析、復号化、整理するためにAI支援Pythonスクリプトを開発しました」とMosesは書きました。
このコードはターゲットネットワークを特定し、サイズごとに整理し、ポートをスキャンしてアクティブなサービスを識別し、オープンソース脆弱性スキャナを使用して優先順位付けされたターゲットリストを作成しました。
Amazonがこのコードを調査したところ、AIが自動化された開発の一般的な特徴を持つため、コードが書かれたと判断しました。これには「単に関数名を言い直す冗長なコメント」と「機能よりもフォーマットに過度に投資した単純なアーキテクチャ」が含まれます。
スクリプトは機能しましたが、Mosesは「ツールは堅牢性に欠け、エッジケースで失敗します。これはAI生成コードが大幅な改善なしで使用されるという特性です」と書きました。
脅迫行為者は異なる目的で2つの異なるAIツールを使用しました。1つは一般的な攻撃計画者およびコード開発者として機能し、もう1つは脅迫行為者が侵害されたネットワーク内でピボットするのを支援しました。攻撃者の計画が抵抗に遭ったとき、Amazonは述べました。彼らは新しいエクスプロイトコードを書くか、失敗した侵入試行をデバッグするなど、適応するのに苦労しました。これは彼らの初心者ステータスのさらなる証拠です。
攻撃に対抗するためのヒント
国家主義グループや大規模なサイバー犯罪集団が最も注目を集めていますが、Amazonのレポートは、AIの支援を受けても未洗練な行為者でさえ深刻な脅威をもたらすことができるという事実を強調しています。
FortiGateユーザーは、Amazonが述べたように、インターネットアクセスを無効にする(絶対に必要でない限り)、デフォルトパスワードを変更する、多要素認証を実装する、許可されていない構成変更をスキャンする、予期しない場所からのVPN接続ログを確認するなど、いくつかのステップを実行して自分たちを保護することができます。
Amazonはまた、組織が検索できる搾取の潜在的な兆候を列挙しました。これには、バックアップシステムへの許可されていないアクセス、正当なWindowsアクティビティに見えるように設計された新しいユーザーアカウント、およびスケジュール済みタスクが含まれます。
組織はまた、バックアップインフラストラクチャをメインネットワークから分離して、サイバー攻撃の混乱から隔離された予備計画が常にあることを確認する必要があります。Amazonは述べました。
翻訳元: https://www.cybersecuritydive.com/news/ai-cyberattacks-fortigate-amazon/812830/
