الصفحات
بحث
تحذير: اختراق 600 جدار FortiGate عبر AI في 5 أسابيع (2026)
الأمن السيبراني #اختراق_AI #FortiGate

تحذير: اختراق 600 جدار FortiGate عبر AI في 5 أسابيع (2026)

تاريخ النشر: 2 مشاهدة 0 تعليق 6 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
2 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

حذرت أمازون من حملة اختراق واسعة النطاق استهدفت أكثر من 600 جدار ناري من نوع FortiGate في 55 دولة خلال خمسة أسابيع، بمساعدة خدمات الذكاء الاصطناعي التوليدي. أكد تقرير جديد صادر عن CJ Moses، كبير مسؤولي أمن المعلومات في أمازون للأمن المتكامل، أن الحملة التي جرت بين 11 يناير و18 فبراير 2026، لم تعتمد على أي ثغرات برمجية لاختراق جدران Fortinet النارية.

حملة اختراق واسعة النطاق بمساعدة الذكاء الاصطناعي

بدلاً من استغلال الثغرات، استهدف المخترق واجهات الإدارة المكشوفة وبيانات الاعتماد الضعيفة التي تفتقر إلى حماية المصادقة متعددة العوامل (MFA). بعد ذلك، استخدم الذكاء الاصطناعي لأتمتة الوصول إلى الأجهزة الأخرى داخل الشبكة المخترقة. لوحظت الجدران النارية المخترقة في مناطق متعددة منها جنوب آسيا، أمريكا اللاتينية، الكاريبي، غرب إفريقيا، شمال أوروبا، وجنوب شرق آسيا.

كيف وظّف المخترق الذكاء الاصطناعي؟

اكتشفت أمازون تفاصيل الحملة بعد العثور على خادم يستضيف أدوات ضارة تستخدم لاستهداف جدران FortiGate النارية. استهدفت الحملة واجهات إدارة FortiGate المكشوفة على الإنترنت عن طريق فحص المنافذ 443، 8443، 10443، و 4443. كانت الهجمات انتهازية ولم تستهدف صناعات محددة. استخدم المخترق هجمات القوة الغاشمة بكلمات مرور شائعة للوصول إلى الأجهزة، بدلاً من استغلال ثغرات يوم الصفر.

بمجرد الاختراق، استخرج المخترق إعدادات تكوين الجهاز، والتي تضمنت:

  • بيانات اعتماد مستخدمي SSL-VPN مع كلمات مرور قابلة للاستعادة.
  • بيانات اعتماد المسؤولين.
  • سياسات جدار الحماية وهندسة الشبكة الداخلية.
  • تكوينات IPsec VPN.
  • معلومات طوبولوجيا الشبكة والتوجيه.

تم تحليل وفك تشفير ملفات التكوين هذه باستخدام أدوات Python و Go التي يبدو أنها مدعومة بالذكاء الاصطناعي. أوضحت أمازون أن المخترق نشر أداة استطلاع مخصصة، بنسخ مختلفة مكتوبة بلغتي Go و Python، بعد الوصول إلى شبكات الضحايا عبر VPN. يكشف تحليل الكود المصدري عن مؤشرات واضحة لتطوير بمساعدة الذكاء الاصطناعي، مثل التعليقات الزائدة التي تكرر أسماء الدوال، وهندسة بسيطة مع استثمار غير متناسب في التنسيق على حساب الوظائف.

استخدمت هذه الأدوات لأتمتة الاستطلاع على الشبكات المخترقة من خلال تحليل جداول التوجيه، وتصنيف الشبكات حسب الحجم، وتشغيل مسح للمنافذ باستخدام gogo scanner مفتوح المصدر، وتحديد مضيفي SMB ووحدات تحكم المجال، واستخدام Nuclei للبحث عن خدمات HTTP. يشير الباحثون إلى أن هذه الأدوات، على الرغم من فعاليتها، كانت تفشل عادةً في البيئات الأكثر تحصيناً.

احتوت وثائق التشغيل المكتوبة بالروسية على تفاصيل حول كيفية استخدام Meterpreter و mimikatz لتنفيذ هجمات DCSync ضد وحدات تحكم مجال Windows واستخراج تجزئات كلمات مرور NTLM من قاعدة بيانات Active Directory. استهدفت الحملة أيضاً خوادم Veeam Backup & Replication باستخدام نصوص PowerShell مخصصة، وأدوات استخراج بيانات الاعتماد المترجمة، وحاولت استغلال ثغرات Veeam. كما احتوت "ملاحظات التشغيل" الخاصة بالمخترق على إشارات متعددة لمحاولات استغلال ثغرات مختلفة، بما في ذلك CVE-2019-7192 (QNAP RCE)، و CVE-2023-27532 (Veeam information disclosure)، و CVE-2024-40711 (Veeam RCE).

على الرغم من أن أمازون تعتقد أن المخترق يمتلك مجموعة مهارات منخفضة إلى متوسطة، فقد تم تضخيم هذه المهارات بشكل كبير من خلال استخدام الذكاء الاصطناعي. استخدم المخترق ما لا يقل عن مزودين للنماذج اللغوية الكبيرة طوال الحملة من أجل:

  • توليد منهجيات هجوم خطوة بخطوة.
  • تطوير نصوص برمجية مخصصة بلغات برمجة متعددة.
  • إنشاء أطر عمل للاستطلاع.
  • تخطيط استراتيجيات الحركة الجانبية.
  • صياغة وثائق التشغيل.

في إحدى الحالات، يُقال إن المخترق أرسل طوبولوجيا شبكة ضحية داخلية كاملة، بما في ذلك عناوين IP وأسماء المضيفين وبيانات الاعتماد والخدمات المعروفة، إلى خدمة ذكاء اصطناعي وطلب المساعدة في الانتشار داخل الشبكة. تؤكد أمازون أن هذه الحملة توضح كيف أن خدمات الذكاء الاصطناعي التجارية تخفض حاجز الدخول أمام المهاجمين، مما يمكنهم من تنفيذ هجمات تتجاوز عادةً مستوى مهاراتهم.

تفاصيل تقنية إضافية من Cyber and Ramen

قدم بحث منفصل نشر مؤخراً على مدونة Cyber and Ramen الأمنية تفاصيل تقنية إضافية حول كيفية دمج الذكاء الاصطناعي والنماذج اللغوية الكبيرة مباشرة في حملة الاختراق. كشف الباحث أن الخادم ذو التكوين الخاطئ على العنوان 212.11.64.250، والذي عثرت عليه أمازون أيضاً، كشف عن 1,402 ملفاً، بما في ذلك نسخ احتياطية لتكوينات FortiGate مسروقة، وبيانات تعيين Active Directory، ومخلفات بيانات الاعتماد، وتقييمات الثغرات الأمنية، ووثائق تخطيط الهجمات.

كما تُظهر الصورة المرفقة، لقطة من هجوم Hunt.io توضح محتويات خادم المخترق، ومن بينها مجلدات تحتوي على كود استغلال CVE، وملفات تكوين FortiGate، وقوالب مسح Nuclei، وأدوات استخراج بيانات اعتماد Veeam. احتوى مجلدان باسمي claude-0 و claude على أكثر من 200 ملف، بما في ذلك مخرجات مهام Claude Code، وفروقات الجلسات، وحالات المطالبات المخزنة مؤقتاً.

تضمنت الملفات المكشوفة خادم Model Context Protocol (MCP) مخصصاً يُدعى ARXON، والذي عمل كجسر بين بيانات الاستطلاع والنماذج اللغوية الكبيرة التجارية. لم يتمكن الباحث من العثور على أي مراجع عامة لـ ARXON، مما يشير إلى أنه كان على الأرجح إطار عمل MCP مخصصاً أنشأه المخترق.

يعمل خادم MCP كطبقة وسيطة تستوعب البيانات، وتغذيها في النماذج اللغوية، ثم تستخدم المخرجات المولدة مع أدوات أخرى. في هذه الحملة، استخدمت البيانات المستوعبة لأتمتة تحليل ما بعد الاختراق وتخطيط الهجمات. أداة Go منفصلة تُدعى CHECKER2 هي أداة تنسيق تعتمد على Docker واستخدمت لمسح آلاف أهداف VPN بالتوازي، حيث أظهرت السجلات أكثر من 2,500 هدف محتمل في أكثر من 100 دولة.

وفقاً للباحث، تم تغذية بيانات الاستطلاع التي جمعت من أجهزة FortiGate المخترقة والشبكات الداخلية إلى ARXON، والذي استعلم بعد ذلك نماذج لغوية كبيرة مثل DeepSeek و Claude لتوليد خطط هجوم منظمة. تضمنت هذه الخطط تعليمات للحصول على صلاحيات Domain Admin، ومواقع مقترحة للبحث عن بيانات الاعتماد، وخطوات استغلال موصى بها، وإرشادات حول الانتشار الجانبي إلى أجهزة أخرى.

في بعض الحالات، تم تكوين Claude Code لتنفيذ أدوات هجومية بمفرده، بما في ذلك نصوص Impacket، ووحدات Metasploit، و hashcat، دون أن يتطلب ذلك موافقة المخترق على كل أمر. يلاحظ الباحث أن العملية تطورت على مدى عدة أسابيع، حيث استخدم المهاجم في البداية إطار عمل HexStrike MCP مفتوح المصدر، وبعد حوالي ثمانية أسابيع، انتقل إلى نظام ARXON المخصص والمؤتمت.

يعزز هذا التقرير تقييم أمازون بأن الذكاء الاصطناعي التوليدي يستخدم كمضاعف، مما يسمح للمهاجمين بتوسيع نطاق الاختراقات بكفاءة أكبر. يحذر الباحثون بالمثل من أن المدافعين يجب أن يمنحوا الأولوية لتصحيح الأجهزة الطرفية ومراجعة نشاط SSH غير العادي وإنشاء حسابات VPN. كما عثر الباحث الأمني Germán Fernández من CronUp على خادم مختلف يعرض دليلاً يحتوي على ما يبدو أنه أدوات مولدة بالذكاء الاصطناعي تستهدف FortiWeb، مما يؤكد استمرار المخترقين في استخدام هذه الأدوات لتشغيل هجماتهم.

توصيات أمازون وتعزيز الأمن السيبراني

بناءً على نتائج هذه الحملة، توصي أمازون مسؤولي FortiGate بعدم كشف واجهات الإدارة على الإنترنت، والتأكد من تمكين المصادقة متعددة العوامل (MFA)، وضمان أن كلمات مرور VPN ليست هي نفسها المستخدمة لحسابات Active Directory، وتحصين البنية التحتية للنسخ الاحتياطي.

وكانت جوجل قد أبلغت مؤخراً أن المهاجمين يسيئون استخدام Gemini AI عبر جميع مراحل الهجمات السيبرانية، وهو ما يعكس ما لاحظته أمازون في هذه الحملة، مما يؤكد التحديات المتزايدة في المشهد الأمني الرقمي.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##اختراق_AI ##FortiGate ##الأمن_السيبراني ##هجمات_الذكاء_الاصطناعي

الأسئلة الشائعة

كشفت أمازون عن حملة اختراق استهدفت أكثر من 600 جدار ناري من نوع FortiGate في 55 دولة خلال خمسة أسابيع، بمساعدة الذكاء الاصطناعي التوليدي.

استخدم المخترق الذكاء الاصطناعي لأتمتة عمليات الاستطلاع، وتخطيط الهجمات، وتوليد نصوص برمجية مخصصة، مما خفض من حاجز الدخول لتنفيذ هجمات معقدة.

لم تعتمد الهجمات على استغلال ثغرات يوم الصفر، بل استهدفت واجهات الإدارة المكشوفة وبيانات الاعتماد الضعيفة التي تفتقر إلى حماية المصادقة متعددة العوامل (MFA).

توصي أمازون بعدم كشف واجهات الإدارة على الإنترنت، وتمكين المصادقة متعددة العوامل (MFA)، واستخدام كلمات مرور VPN مختلفة عن حسابات Active Directory، وتحصين البنية التحتية للنسخ الاحتياطي.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!