吳明宜AWS 最新一份安全報告指出,駭客利用市售生成式 AI 工具輔助,在僅一個多月時間內就駭入全球 55 國 600 多台連上開放網際網路的 FortiGate 防火牆。
這波攻擊發生在一月中到二月中,駭客並非使用高明的零時差漏洞,而是在 AI 協助下測試每把數位鑰匙這麼基本的方法,單純仰賴機器加持速度。
AWS 表示,這波攻擊背後是為錢財而來的俄羅斯語系駭客,他們掃描網路上哪裡有曝險的 FortiGate 管理介面,再測試常被重複使用或低強度的密碼。一旦進入網路,就開始搜尋設定檔,以了解受害者網路環境。
AWS 研究人員表示,駭客利用多種常見的商業 AI 工具來產生攻擊計畫、腳本和操作筆記。駭客即使技術不高,也能執行過去需大團隊或更多時間才能進行的攻擊行動。研究人員甚至找到 AI 生成程式碼,在受害基礎設施規劃攻擊的證據,顯示工具是嵌入於運作流程中,而非只是隨機拿來使用。
「有大量且多樣自製工具一般意味攻擊者具有資源強大的開發團隊,但這次攻擊只要一個人或一小組人運用 AI 協助,就能開發出這一整組攻擊工具。」Amazon 資安長 CJ Moses 表示。
一旦防火牆被攻破,攻擊者就能取得包含管理員和 VPN 憑證、網路拓撲資訊、防火牆規則的設定檔。經由這些檔案,攻擊者可以深入網路環境、進入 Active Directory 、傾印憑證,並設法橫向移動。備份系統(包括 Veeam 伺服器)都在潛在目標中。
AWS 研究人員觀察到的工具雖然可運作,但還很粗糙。它簡單的解析邏輯、重複的註解,顯示第一版是機器寫的,然而已足以自動化執行。不過如果目標抵抗太頑強,攻擊者似乎就會放棄而轉向較弱的目標,這也強化攻擊重量不重質的策略。
從地區來看,本次攻擊似乎是隨機而非鎖定特定目標,因為受害 FortiGate 伺服器散布在歐洲、亞洲、非洲及拉丁美洲多個地點。受害目標叢集狀散布顯示,攻擊者是利用代管服務供應商或大型共享環境,擴大下游伺服器的風險。
AWS 報告強調用戶應遵守基本的安全習慣,像是確保管理介面不得開放網際網路存取、需啟用多因素驗證,以及絕不重複使用密碼等,理應就能防範大部分攻擊活動。
在幾週前,Google 研究人員也警告,有越來越多網路駭客直接將生成式 AI 嵌入其行動中,包括 Gemini AI 聊天機器人,用它來執行偵察、研究攻擊目標、發送釣魚信件及開發惡意程式。
來源:The Register