ロシア語話者の脅威行為者が商用生成人工知能ツールを使用して、今年初めに55カ国以上にわたるFortinet FortiGateファイアウォールデバイス600台以上を侵害するのを支援したことが、研究者によって判明しました。
1月中旬から2月中旬にかけて実施されたこのキャンペーンは、高度な技術的脆弱性ではなく、弱いセキュリティ設定を悪用したとAmazonの脅威インテリジェンスチームが金曜日に公開されたレポートで述べています。
ハッカーは攻撃計画の生成、スクリプトの自動化、および操作の管理を行うために複数の商用AIサービスに大きく依存していました。これにより、研究者が「低~中程度のスキルの行為者」と説明する者が、以前は大規模でより高度なグループに関連していた規模で活動することができました。
「商用AIサービスは、攻撃的なサイバー機能への参入障壁を低下させることができます」とレポートは述べています。Amazonはキャンペーンで使用されたAIツールを特定しませんでした。
研究者は、攻撃の背後にある行為者は経済的動機があるように見えており、国家支援を受けたハッキンググループとのリンクがあることは知られていないと述べました。キャンペーンは特定の業界に焦点を当てるのではなく、脆弱なシステムの自動スキャンに依存した日和見的なように見えました。侵害されたデバイスは、南アジア、ラテンアメリカ、カリブ海、西アフリカ、北ヨーロッパ、および東南アジアを含むいくつかの地域で特定されました。
Amazonは、AIが生成した攻撃計画、操作チェックリスト、および初期ネットワークスキャンから侵害後のレポートまで、キャンペーンのほぼすべての段階を自動化するように設計されたカスタムコードを示す、広範なロシア語のドキュメントを発見しました。
攻撃はFortiGateファイアウォール(組織がネットワークトラフィックとリモートアクセスを管理するのに役立つ広く使用されているセキュリティアプライアンス)を対象としていました。Amazonによると、違反は新たに発見された脆弱性に依存していませんでした。代わりに、攻撃者は露出した管理アクセスポイントと弱い認証を持つデバイスを特定しました。
アクセスを得た後、攻撃者はパスワードとネットワークアーキテクチャの詳細を含む完全なデバイス設定を盗みました。彼らはこの情報を使用して、内部システムに深く進入しました。場合によっては、彼らは組織のActive Directory環境にアクセスし、バックアップシステムをターゲットにしました。研究者によると、このステップは将来のランサムウェア攻撃の準備を示す可能性があります。
研究者はまた、行為者のインフラストラクチャから回収したカスタムツール(認証情報抽出、VPN自動化、およびスキャンのスクリプトを含む)を分析しました。コードはAI支援生成の明確な兆候を示していました。標準的な条件下では機能していましたが、予期しないシナリオでは頻繁に失敗していました。
「脅威行為者は直線的な自動攻撃パスを超えようとする試みでは大きく失敗しました」とレポートは指摘しており、パッチが適用されたシステムまたは基本的な防御制御が、グループに操作を放棄させた繰り返されたケースを説明しています。場合によっては、攻撃者自身のドキュメントは、目標が悪用するにはあまりにも十分に保護されていることを認めていました。
Amazonは自社のクラウドインフラストラクチャは攻撃に関与していないと述べました。研究者は、そのような活動の量が増加する可能性が高いと警告しました。
「組織は、AI拡張脅威活動が熟練した敵と未熟な敵の両方からボリュームで成長し続けることを予期する必要があります」と彼らは追加しました。
研究者は以前、人工知能がすでにサイバー攻撃の実行方法を変えていると警告しています。
Google は 11 月述べたところ、国家支援を受けたハッキンググループが実行中に大規模言語モデルを使用できるマルウェアの実験を行っていました。これにより、悪意のあるコードはその場で適応し、検出を潜在的に回避できます。より最近には、研究者が中国、北朝鮮、イランに関連する高度な行為者がGoogle のGemini AIシステムを使用して操作を強化し、マルウェア開発を改善し、目標に関する情報を収集していたと報告しました。
前の記事なし
新しい記事なし
翻訳元: https://therecord.media/gen-ai-fortigate-hackers-russia
