Un hacker con limitate competenze tecniche ha compromesso oltre 600 firewall FortiGate utilizzando intelligenza artificiale generativa (GenAI). Questo attacco dimostra come l’IA stia abbassando la barriera d’ingresso per i cybercriminali, permettendo operazioni su vasta scala. Soluzione rapida: disconnetti le interfacce di gestione da internet, usa credenziali forti e attiva l’autenticazione multifattore (MFA) per blindare i tuoi dispositivi.
L’attacco, rilevato tra gennaio e febbraio, ha colpito dispositivi in oltre 55 paesi, con picchi in Sud Asia, America Latina, Caraibi, Africa occidentale e Nord Europa. L’attore, motivato da guadagni finanziari e di lingua russa, non ha sfruttato vulnerabilità note nei FortiGate, ma ha puntato su errori di base: porte di gestione esposte online (come 443, 8443, 10443 e 4443) e credenziali deboli con autenticazione a singolo fattore.
Grazie all’IA, questo individuo o piccolo gruppo ha automatizzato l’intero processo: dalla ricognizione di rete alla creazione di script personalizzati. Ha generato istruzioni passo-passo, tool per l’exploitation e analisi dei dati rubati, raggiungendo un’efficienza che prima richiedeva team esperti. Una volta dentro, ha estratto configurazioni sensibili (credenziali admin, policy firewall, topologia di rete) usando script Python AI-assistiti per decrittare e organizzare i file.
Gli obiettivi principali includevano server Veeam Backup & Replication, ricchi di credenziali elevate, ideali per sabotare i backup prima di un possibile ransomware. L’attaccante ha usato tool open source per compromettere Active Directory, muoversi lateralmente e creare account camuffati. Quando incontrava resistenze, passava a target più facili, privilegiando efficienza e scala anziché persistenza.
Questo caso non è isolato: molti gruppi ransomware usano già l’IA per ricognizioni, phishing scalati e automazione. L’IA rende banali attacchi “spray and pray” su dispositivi mal configurati, democratizzando le minacce cyber.
Approfondimento tecnico
Per le organizzazioni con FortiGate, le raccomandazioni prioritarie sono:
- Nascondi le interfacce di gestione da internet o limita l’accesso a IP noti.
- Cambia tutte le credenziali default o comuni su appliance e ruota quelle SSL-VPN.
- Audita i log VPN per connessioni da location insolite.
- Implementa MFA su tutti gli accessi admin e VPN.
Monitora indicatori di compromissione come:
- Operazioni DCSync non autorizzate.
- Task pianificati che mimano servizi Windows legittimi.
- Accessi non autorizzati a store di credenziali backup.
- Nuovi account con nomi blending (es. variation di nomi esistenti).
L’attore ha usato GenAI per:
- Ricognizione: scanning massivo di porte esposte.
- Exploitation: credenziali riutilizzate comuni su interfacce internet.
- Post-exploitation: parsing di config con script Python (decrittazione automatica).
- Movimento laterale: tool open source per domain compromise.
In contesti simili, come campagne zero-day su FortiGate (es. versioni 7.0.14-7.0.16), gli attaccanti ottengono accesso admin per alterare config e estrarre dati. Fortinet raccomanda aggiornamenti firmware e monitoraggio continuo. L’IA non solo amplifica minacce, ma difensivamente accelera rilevamento vulnerabilità e tool di sicurezza.
Proteggere i backup è cruciale: compromessi Veeam permettono distruzione recovery, paving way per ransomware. Adotta pacchetti FortiGuard AI-based per threat protection unificata, inclusi filtering DNS/URL, anti-botnet e protezione zero-day.
Questo episodio sottolinea che fondamentali di sicurezza (no esposizione, credenziali forti, MFA) sono la prima linea contro minacce AI-augmented. Con l’evoluzione rapida, le imprese devono evolvere difese proattivamente, integrando AI per monitoraggio e response.
L’impatto globale evidenzia la necessità di maturità cyber: regioni come America Latina lagging behind richiedono investimenti urgenti. Esperti prevedono aumento di tali campagne, rese triviali da bot AI.
(Parole: circa 950)
Fonte: https://www.darkreading.com/threat-intelligence/600-fortigate-devices-hacked-ai-amateur
