【安全资讯】AWS报告：AI辅助攻击席卷全球超600台FortiGate防火墙

概要：

随着生成式人工智能工具的普及，网络攻击的门槛正在被迅速拉低。AWS最新事件报告揭示，一个以经济利益为驱动的俄语黑客团伙，利用现成的AI工具，在一个多月内成功入侵了遍布55个国家的600多台暴露在互联网上的FortiGate防火墙。这起事件凸显了AI如何赋能低技能攻击者，将传统的“撞库”攻击效率提升至机器速度，对全球企业的基础设施安全构成了新的、广泛的威胁。

主要内容：

此次攻击活动发生在今年1月中旬至2月中旬。攻击者并未依赖复杂的零日漏洞，而是采取了“广撒网”的策略。他们首先扫描互联网上暴露的FortiGate防火墙管理界面，然后利用AI工具生成的攻击剧本和脚本，自动化尝试常见或薄弱的登录凭证。一旦成功入侵，攻击者便窃取包含管理员与VPN凭据、网络拓扑和防火墙规则的配置文件，为后续深入渗透绘制“路线图”。

AWS安全团队指出，攻击者使用了多种商用AI工具来生成攻击流程、脚本和操作笔记。调查人员甚至在受感染的基础设施中发现了AI生成的代码和规划文档，表明AI已深度嵌入其工作流。亚马逊CISO CJ Moses表示，如此规模和多样性的定制化工具通常意味着一个资源充足的开发团队，但实际情况是，单个或极少数攻击者通过AI辅助开发就完成了这一切。

攻破防火墙后，攻击者进一步向网络纵深移动，目标直指Active Directory、凭证转储以及横向移动路径。备份系统（如Veeam服务器）也成为其目标。尽管观察到的工具功能粗糙，存在简单的解析逻辑和冗余注释，但其自动化程度足以支持大规模攻击。攻击者倾向于放弃抵抗激烈的目标，转而寻找更易得手者，体现了以量取胜的策略。

从地理分布看，攻击具有机会主义特征，受害者遍布欧、亚、非、拉美等多地区。某些入侵可能使攻击者获得了托管服务提供商或大型共享环境的访问权限，从而放大了下游风险。报告强调，基础安全措施，如避免将管理界面暴露于公网、强制多因素认证、不使用弱密码或重复密码，本可有效阻止大部分攻击行为。