Более 600 межсетевых экранов Fortinet взломаны за пять недель с помощью ИИ
С 11 января по 18 февраля 2026 года были скомпрометированы более 600 межсетевых экранов Fortinet FortiGate в 55 странах. По данным отчета Amazon Integrated Security, профильного подразделения Amazon, подготовившего расследование этой кампании, доступ получали через открытые в интернет интерфейсы управления и слабые учетные данные без многофакторной аутентификации. В отчете говорится о Russian-speaking threat actor — русскоязычном злоумышленнике.
В отчете по результататам расследования Amazon Integrated Security описывается пяти-недельная кампанию, в ходе которой злоумышленник сканировал доступные из интернета интерфейсы управления межсетевых экранов Fortinet FortiGate и подбирал пароли к учетным записям без включенной MFA. Эксплуатации zero-day или других уязвимостей устройств зафиксировано не было.
После получения доступа выгружались резервные копии конфигураций устройств. В них содержались учетные данные SSL-VPN (включая восстанавливаемые пароли), административные логины, политики межсетевого экрана, параметры IPsec-VPN, сведения о топологии сети и маршрутизации. Эти данные использовались для дальнейшей разведки внутри сетей.
По данным расследования, злоумышленник использовал как минимум два коммерческих сервиса больших языковых моделей (LLM) для генерации пошаговых методик атак, написания скриптов, создания инструментов разведки и планирования дальнейшего продвижения внутри сети. В одном случае во внешний ИИ-сервис была передана внутренняя топология сети жертвы с IP-адресами, именами хостов и учетными данными для выработки дальнейшего плана действий.
Отдельное исследование выявило открытый сервер, размещенный в Цюрихе. На нем находились 1 402 файла, включая украденные конфигурации FortiGate, данные Active Directory, дампы учетных данных, шаблоны сканирования и инструменты для извлечения паролей Veeam.
В материалах описана инфраструктура, позволявшая обрабатывать цели параллельно. Упоминаются кастомный MCP-сервер ARXON, который передавал результаты разведки в LLM для генерации структурированных планов атак, и оркестратор CHECKER2 для параллельного сканирования VPN-целей. В логах зафиксировано более 2 500 потенциальных целей в 106 странах .
Подчеркивается также, что эта активность не связана с январской волной атак на конкретную уязвимость FortiGate и использовала иной вектор — открытые интерфейсы управления и слабые административные учетные данные.
Читайте также
