Amazon: Peretas yang dibantu AI menembus 600 firewall Fortinet dalam 5 minggu

Amazon memperingatkan bahwa peretas berbahasa Rusia menggunakan beberapa layanan AI generatif sebagai bagian dari kampanye yang menembus lebih dari 600 firewall FortiGate di 55 negara dalam lima minggu.

Sebuah laporan baru oleh CJ Moses, CISO dari Amazon Integrated Security, mengatakan bahwa kampanye peretasan terjadi antara 11 Januari dan 18 Februari 2026, dan tidak bergantung pada eksploitasi apa pun untuk menembus firewall Fortinet.

Sebaliknya, pelaku ancaman menargetkan antarmuka manajemen yang terbuka dan kredensial lemah yang tidak memiliki perlindungan MFA, kemudian menggunakan AI untuk membantu mengotomatiskan akses ke perangkat lain di jaringan yang dibobol.

Moses mengatakan firewall yang disusupi terjadi di Asia Selatan, Amerika Latin, Karibia, Afrika Barat, Eropa Utara, Asia Tenggara, dan wilayah lainnya.

Kampanye peretasan bertenaga AI

Amazon mengatakan pihaknya mengetahui tentang kampanye tersebut setelah menemukan server yang menghosting alat berbahaya yang digunakan untuk menargetkan firewall Fortinet FortiGate.

Sebagai bagian dari kampanye, pelaku ancaman menargetkan antarmuka manajemen FortiGate yang terekspos ke internet dengan memindai layanan yang berjalan pada port 443, 8443, 10443, dan 4443. Penargetan tersebut dilaporkan bersifat oportunistik dan bukan terhadap industri tertentu.

Daripada mengeksploitasi zero-day, seperti yang kita lakukan biasanya melihat penargetan perangkat FortiGateaktor tersebut menggunakan serangan brute force dengan kata sandi umum untuk mendapatkan akses ke perangkat.

Setelah dibobol, pelaku ancaman mengekstrak pengaturan konfigurasi perangkat, yang meliputi:

• Kredensial pengguna SSL-VPN dengan kata sandi yang dapat dipulihkan
• Kredensial administratif
• Kebijakan firewall dan arsitektur jaringan internal
• Konfigurasi IPsec VPN
• Topologi jaringan dan informasi perutean

File konfigurasi ini kemudian diurai dan didekripsi menggunakan alat Python dan Go yang tampaknya dibantu AI.

“Setelah akses VPN ke jaringan korban, pelaku ancaman menyebarkan alat pengintaian khusus, dengan versi berbeda yang ditulis dalam Go dan Python,” jelas Amazon.

“Analisis kode sumber mengungkapkan indikator yang jelas dari pengembangan yang dibantu AI: komentar berlebihan yang hanya menyatakan ulang nama fungsi, arsitektur sederhana dengan investasi yang tidak proporsional dalam pemformatan dibandingkan fungsionalitas, penguraian JSON yang naif melalui pencocokan string daripada deserialisasi yang tepat, dan shim kompatibilitas untuk bahasa bawaan dengan stub dokumentasi kosong.”

“Meskipun berfungsi untuk kasus penggunaan khusus pelaku ancaman, alat ini kurang kokoh dan gagal dalam kasus-kasus edge—karakteristik yang umum dari kode yang dihasilkan AI yang digunakan tanpa penyempurnaan yang signifikan.”

Alat-alat ini digunakan untuk mengotomatiskan pengintaian pada jaringan yang dibobol dengan menganalisis tabel perutean, mengklasifikasikan jaringan berdasarkan ukuran, menjalankan pemindaian port menggunakan sumber terbuka. pemindai gogomengidentifikasi host SMB dan pengontrol domain, dan menggunakan Nuclei untuk mencari layanan HTTP.

Para peneliti mengatakan bahwa meskipun alat tersebut berfungsi, alat tersebut biasanya gagal di lingkungan yang lebih keras.

Dokumentasi operasional yang ditulis dalam bahasa Rusia merinci cara menggunakan Meterpreter dan mimikatz untuk melakukan serangan DCSync terhadap pengontrol domain Windows dan mengekstrak hash kata sandi NTLM dari database Active Directory.

Kampanye ini juga secara khusus menargetkan server Pencadangan & Replikasi Veeam menggunakan skrip PowerShell khusus, alat ekstraksi kredensial yang dikompilasi, dan upaya untuk mengeksploitasi kerentanan Veeam.

Di salah satu server yang ditemukan oleh Amazon (212[.]11.64.250), pelaku ancaman menghosting skrip PowerShell bernama “DekripsiVeeamPasswords.ps1” yang digunakan untuk menargetkan aplikasi cadangan.

Seperti yang dijelaskan Amazon, pelaku ancaman sering kali menargetkan infrastruktur cadangan sebelum menerapkan ransomware untuk mencegah pemulihan file terenkripsi dari cadangan.

“Catatan operasional” pelaku ancaman juga berisi banyak referensi untuk mencoba mengeksploitasi berbagai kerentanan, termasuk CVE-2019-7192 (QNAP RCE), CVE-2023-27532 (Keterbukaan informasi Veeam), dan CVE-2024-40711 (Veeam RCE).

Laporan tersebut mengatakan bahwa penyerang berulang kali gagal ketika mencoba menerobos sistem yang telah ditambal atau dikunci, namun alih-alih terus mencoba mendapatkan akses, mereka malah beralih ke target yang lebih mudah.

Meskipun Amazon percaya bahwa pelaku ancaman memiliki keahlian tingkat rendah hingga menengah, keahlian tersebut diperkuat secara signifikan melalui penggunaan AI.

Para peneliti mengatakan pelaku ancaman menggunakan setidaknya dua penyedia model bahasa besar selama kampanye untuk:

• Hasilkan metodologi serangan langkah demi langkah
• Kembangkan skrip khusus dalam berbagai bahasa pemrograman
• Buat kerangka pengintaian
• Rencanakan strategi gerakan lateral
• Draf dokumentasi operasional

Dalam satu contoh, aktor tersebut dilaporkan menyerahkan topologi jaringan internal korban secara lengkap, termasuk alamat IP, nama host, kredensial, dan layanan yang diketahui, ke layanan AI dan meminta bantuan untuk menyebarkannya lebih jauh ke dalam jaringan.

Amazon mengatakan kampanye ini menunjukkan bagaimana layanan AI komersial menurunkan hambatan masuk bagi pelaku ancaman, memungkinkan mereka melakukan serangan yang biasanya berada di luar keahlian mereka.

Perusahaan merekomendasikan agar admin FortiGate tidak mengekspos antarmuka manajemen ke internet, memastikan MFA diaktifkan, memastikan kata sandi VPN tidak sama dengan kata sandi untuk akun Direktori Aktif, dan memperkuat infrastruktur cadangan.

Google baru-baru ini dilaporkan bahwa pelaku ancaman menyalahgunakan AI Gemini di semua tahap serangan siber, hal ini mencerminkan apa yang diamati Amazon dalam kampanye ini.