超600台FortiGate防火墙遭AI增强型网络攻击

据AWS最新事件报告显示，网络犯罪分子利用现成的生成式AI工具，在一个多月内成功入侵了分布在55个国家的600多台互联网暴露的FortiGate防火墙。

这次攻击活动从1月中旬持续到2月中旬，攻击者并非依赖复杂的零日漏洞，而是采用类似"逐一尝试数字门把手"的方式，只不过以机器速度执行，背后有AI提供辅助。

AWS表示，这个以经济利益为动机的俄语犯罪团伙扫描暴露的FortiGate管理界面，尝试常用或弱密码凭据，一旦成功入侵就会获取配置文件，从而获得受害者网络的路线图。

该云服务巨头的安全团队发现，攻击者使用多种商业AI工具生成攻击手册、脚本和操作说明，这使得技能相对较低的团伙能够执行原本需要更多人力或时间的攻击活动。调查人员甚至在被入侵的基础设施上发现了AI生成的代码和规划文件，表明这些工具贯穿整个工作流程，而不仅仅用于偶尔的脚本编写。

"工具的数量和多样性通常表明背后有资源充足的开发团队，"亚马逊首席信息安全官CJ Moses表示，"但实际上，是单个攻击者或极小的团体通过AI辅助开发生成了整套工具包。"

一旦防火墙被破解，攻击者就会提取包含管理员和VPN凭据、网络拓扑详情和防火墙规则的配置文件。随后，他们会深入环境内部，攻击Active Directory，转储凭据，并寻找横向移动的方法。备份系统，包括Veeam服务器，也在他们的目标清单上。

AWS表示，观察到的工具虽然功能完整但制作粗糙，具有简单的解析逻辑和表明机器编写初稿的冗余注释。尽管如此，这些工具对于大规模自动化攻击仍然足够有效，不过据报告，犯罪分子倾向于放弃阻力较大的目标，转向更容易攻破的目标，这强化了数量胜过技巧的策略理念。

从地理分布来看，这次攻击活动是机会主义的而非精确定向的，受害者遍布多个地区，包括欧洲、亚洲、非洲和拉丁美洲的部分地区。活动集群表明，一些入侵可能已经获得了托管服务提供商或更大共享环境的访问权限，放大了下游风险。

该报告强调，基本的安全卫生措施——如将管理界面从公共互联网上移除、强制实施多因子认证以及避免密码重复使用——本可以在攻击开始之前就阻止大部分活动。

这一发现出现在谷歌警告犯罪分子越来越多地将生成式AI直接融入其操作的几周之后，包括使用其自己的Gemini AI聊天机器人执行从侦察和目标分析到钓鱼和恶意软件开发等各种任务。

Q&A

Q1：FortiGate防火墙遭受的这次网络攻击有什么特点？

A：这次攻击的最大特点是犯罪分子使用了生成式AI工具来增强攻击能力。攻击者利用AI生成攻击手册、脚本和操作说明，使得原本需要高技能和大团队的攻击活动能够由单个攻击者或小团体完成。攻击规模庞大，在一个多月内成功入侵了55个国家的600多台防火墙。

Q2：攻击者是如何利用生成式AI进行网络攻击的？

A：攻击者使用多种商业AI工具来生成完整的攻击工具包，包括攻击手册、恶意脚本和操作文档。AI工具贯穿整个攻击工作流程，不仅用于编写代码，还用于制定攻击策略和规划。调查人员在被入侵的系统中发现了AI生成的代码和规划文件，证明AI已经深度融入攻击活动中。

Q3：如何防范类似的AI增强型网络攻击？

A：报告强调基本的网络安全卫生措施就能有效防范此类攻击。主要包括：将管理界面从公共互联网上移除，避免直接暴露在外；强制实施多因子认证，增加攻击难度；避免使用重复或弱密码。这些基础防护措施本可以在攻击开始之前就阻止大部分攻击活动。