- Peretas Rusia memaksa firewall FortiGate menggunakan kredensial yang lemah
- Skrip yang dihasilkan AI memungkinkan penguraian data, pengintaian, dan pergerakan lateral
- Kampanye ini menargetkan server Veeam; penyerang meninggalkan sistem yang diperkeras
Seorang peretas Rusia baru-baru ini terlihat memaksa masuk ke ratusan firewall – namun yang membuat kampanye ini sangat menonjol adalah kenyataan bahwa pelaku ancaman yang tampaknya tidak memiliki keterampilan ini mampu melakukan serangan dengan bantuan Kecerdasan Buatan Generatif (GenAI).
Di sebuah analisis baru, Amazon CISO Keamanan Terintegrasi CJ Moses menjelaskan bagaimana para peneliti mengamati aktor ancaman memindai secara “sistematis” antarmuka manajemen FortiGate yang terbuka di seluruh port 443, 8443, 10443, dan 4443.
Setelah menemukan target potensial, mereka memaksa masuk, mencoba kombinasi kredensial yang umum digunakan dan lemah yang tak terhitung jumlahnya, sampai ada yang berhasil.
Sedikit kasar di bagian tepinya
Begitu masuk, peretas mengekstrak file konfigurasi perangkat lengkap (kredensial pengguna SSL-VPN dengan kata sandi yang dapat dipulihkan, kredensial administratif, firewall kebijakan dan arsitektur jaringan internal, dan banyak lagi) serta menguraikan, mendekripsi, dan mengaturnya menggunakan skrip Python yang dihasilkan AI.
Mereka kemudian menggunakan kredensial VPN yang dipulihkan untuk terhubung ke jaringan internal, menerapkan alat pengintaian khusus yang dihasilkan AI (ditulis dalam Go dan Python) dan berpindah ke Direktori Aktif.
“Analisis kode sumber mengungkapkan indikator yang jelas dari pengembangan yang dibantu AI: komentar berlebihan yang hanya menyatakan ulang nama fungsi, arsitektur sederhana dengan investasi yang tidak proporsional dalam pemformatan dibandingkan fungsionalitas, penguraian JSON yang naif melalui pencocokan string daripada deserialisasi yang tepat, dan shim kompatibilitas untuk bahasa bawaan dengan stub dokumentasi kosong,” kata Moses.
“Meskipun berfungsi untuk kasus penggunaan khusus pelaku ancaman, alat ini kurang kokoh dan gagal dalam kasus-kasus edge—karakteristik yang umum dari kode yang dihasilkan AI yang digunakan tanpa penyempurnaan yang signifikan.”
Penyerang juga secara khusus menargetkan server Veeam Backup & Replication, menyebarkan alat ekstraksi kredensial dan mencoba mengeksploitasi kerentanan Veeam yang diketahui.
Semua ini dilakukan hanya dalam kurun waktu beberapa minggu, antara 11 Januari dan 18 Februari 2026, sehingga membuat para peneliti yakin bahwa penyerang tersebut tidak memiliki keterampilan – karena selama operasi mereka, mereka mencoba mengeksploitasi berbagai CVE namun sebagian besar gagal ketika target ditambal atau diperkuat. Mereka sering kali meninggalkan lingkungan yang terlindungi dengan baik dan beralih ke sasaran yang lebih mudah.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
