وقال ستيفن شميدت، كبير مسؤولي خدمة العملاء في أمازون، عن تقرير AWS، الذي وجد أن أكثر من 600 جدار حماية من Fortinet FortiGate قد تم اختراقها: “(الذكاء الاصطناعي) يجعل أنواعًا معينة من الهجمات في متناول الجهات الفاعلة الأقل تطورًا والتي يمكنها الآن الاستفادة من الذكاء الاصطناعي لتعزيز قدراتها والعمل على نطاق واسع”.
تم اختراق أكثر من 600 من جدران الحماية Fortinet FortiGate من قبل مجرمي الإنترنت “المتطورين” الذين استخدموا أدوات الذكاء الاصطناعي التوليدية الجاهزة لتوسيع نطاق الهجوم عبر أكثر من 55 دولة، وفقًا لتقرير حادث جديد من Amazon Web Services.
وقال ستيفن شميدت، نائب رئيس أمازون الأول وكبير مسؤولي الأمن، في منشور على LinkedIn: “الأهم من ذلك، أن الذكاء الاصطناعي مكّن هذا الممثل من العمل على نطاق واسع، والتخطيط للهجمات، وتطوير الأدوات، وأتمتة العمليات بطرق كانت تتطلب في السابق موارد كبيرة وخبرة فنية”.
وقال تقرير Amazon Threat Intelligence إن المهاجم كان ممثلًا ناطقًا بالروسية أو مجموعة صغيرة ذات قدرات تقنية محدودة ولم يكن مرتبطًا بأي مجموعات تهديد ذات موارد ترعاها الدولة.
وقال مسؤول المجتمع المدني في أمازون: “هذا جزء من النمط الذي نشهده حيث يقوم الذكاء الاصطناعي بخفض حاجز الدخول أمام الجهات الفاعلة التي تهدد التهديد”.
(ذات صلة: آندي جاسي يتحدث عن استراتيجية AWS Backlog البالغة 244 مليار دولار أمريكي وTranium4 واستراتيجية رقائق الذكاء الاصطناعي)
وقال: “هذا يجعل أنواع معينة من الهجمات في متناول الجهات الفاعلة الأقل تطوراً والتي يمكنها الآن الاستفادة من الذكاء الاصطناعي لتعزيز قدراتها والعمل على نطاق واسع”.
استمر الهجوم الإلكتروني في الفترة من 11 يناير إلى 18 فبراير 2026، وأدى إلى اختراق أكثر من 600 جهاز FortiGate في 55 دولة في إفريقيا وآسيا وأمريكا اللاتينية والشمالية وأوروبا.
crn تم الاتصال بـFortinet للتعليق على التقرير، لكنها لم ترد حتى وقت كتابة المقالة.
تستخدم الجهات الفاعلة في مجال التهديد الذكاء الاصطناعي
وفقًا لشركة AWS، استخدم المتسللون السيبرانيون العديد من خدمات الذكاء الاصطناعي التوليدي التجاري (GenAI) لتنفيذ وتوسيع نطاق تقنيات الهجوم المعروفة في كل مرحلة من مراحل عملياتهم.
استخدم المتسللون ما لا يقل عن اثنين من شهادات LLM التجارية للمساعدة في التخطيط للهجمات وإعداد الأدوات والعمليات، بما في ذلك تقييمات المدة ومعدل النجاح.
وقال سي جي موسيس، كبير مسؤولي أمن المعلومات ونائب رئيس هندسة الأمن في AWS Security Report: “تشير هذه الخطط إلى بحث أكاديمي حول عملاء الذكاء الاصطناعي الهجوميين، مما يشير إلى أن الممثل يتبع الأدبيات الناشئة حول اختبار الاختراق بمساعدة الذكاء الاصطناعي”.
وقال موسيس: “ينتج الذكاء الاصطناعي من الناحية الفنية تسلسلات أوامر دقيقة، ولكن عندما تختلف الظروف عن الخطة، يواجه الممثل صعوبة في التكيف”.
استخدم ممثل التهديد الذكاء الاصطناعي لإنشاء أساليب هجوم شاملة مع تعليمات استغلال خطوة بخطوة، ومعدلات النجاح المتوقعة، وتقديرات الوقت، وأشجار المهام ذات الأولوية.
هاكر متطور “نجح في اختراق بيئات مؤسسات متعددة”
وقالت AWS إن الممثل استخدم خدمات الذكاء الاصطناعي المتعددة في أدوار تكميلية: العمل كمطور أدوات أساسي، ومخطط هجوم، ومساعد عمليات؛ والثاني يستخدم كمخطط هجوم تكميلي عندما يحتاج الفاعل إلى المساعدة داخل شبكة محددة معرضة للخطر.
قال موسيس: “من المحتمل أن يكونوا أفرادًا أو مجموعات صغيرة لديهم دوافع مالية وقد حققوا نطاقًا تشغيليًا من خلال تحسينات الذكاء الاصطناعي التي كانت تتطلب في السابق فريقًا أكبر بكثير وأكثر مهارة”.
وقال موسيس: “ومع ذلك، واستنادًا إلى تحليلنا للمصادر العامة، فقد نجحوا في اختراق بيئات Active Directory الخاصة بمؤسسات متعددة، واستخرجوا قواعد بيانات الاعتماد بأكملها، واستهدفوا البنية التحتية للنسخ الاحتياطي، وهي مقدمة محتملة لنشر برامج الفدية”.
وفقًا لتقرير AWS، تضمنت البنية التحتية للقراصنة نصوصًا برمجية متعددة بلغات برمجة متعددة تحمل السمات المميزة لجيل الذكاء الاصطناعي، بما في ذلك موزعي التكوين، وأدوات استخراج بيانات الاعتماد، وأتمتة اتصال VPN، وتنسيق المسح الشامل، ولوحات معلومات تجميع النتائج.
كيف فعل مجرمون الإنترنت هذا؟
تقوم الجهات الفاعلة في مجال التهديد بفحص واجهات إدارة FortiGate المكشوفة على الإنترنت وتسعى عادةً إلى الوصول إليها باستخدام بيانات الاعتماد المُعاد استخدامها.
لقد قاموا بتطوير نصوص بايثون بمساعدة الذكاء الاصطناعي لتحليل هذه التكوينات المسروقة وفك تشفيرها وتنظيمها.
بمجرد الوصول إلى VPN إلى شبكة الضحية، نشر مجرمو الإنترنت أداة استطلاع مخصصة – تم تطويرها على الأرجح باستخدام خدمات الذكاء الاصطناعي – مع إصدارات منفصلة مكتوبة في كل من Go وPython.
داخل شبكات الضحايا، استفادت الجهات الفاعلة في مجال التهديد من أدوات الهجوم مفتوحة المصدر، بما في ذلك اختراق النطاق باستخدام Meterpreter؛ استخدام أدوات التسمم القياسية وتنفيذ الأوامر عن بعد على مضيف Windows؛ وتجري محاولات للاستفادة من نقاط الضعف المعروفة في خوادم Veeam Backup and Replication.
وقال موسيس: “على وجه التحديد، عندما واجه هذا الممثل بيئات قاسية أو إجراءات دفاعية أكثر تطوراً، تحرك نحو أهداف أكثر ليونة بدلاً من المثابرة”، مؤكداً أن ميزته تكمن في الكفاءة المعززة بالذكاء الاصطناعي وحجمه، وليس في المهارات الفنية العميقة.
وقال موسيس: “تعمل خدمات الذكاء الاصطناعي التجارية أيضًا على تمكين الجهات الفاعلة غير المتطورة في مجال التهديد من شن هجمات إلكترونية واسعة النطاق – وهو اتجاه تتتبعه شركة Amazon Threat Intelligence عن كثب”.
لم تشارك AWS Infrastructure في الحملة وقالت إنه لم تتم ملاحظة أي استغلال لثغرات FortiGate.
ما يجب على عملاء FortiGate القيام به
قالت AWS إنه يجب على العملاء الذين يستخدمون أجهزة FortiGate اتخاذ إجراءات فورية من خلال ضمان عدم تعرض واجهات الإدارة للإنترنت.
ويشير التقرير أيضًا إلى أن العملاء بحاجة إلى تغيير جميع بيانات الاعتماد الافتراضية والمشتركة على أجهزة FortiGate، بما في ذلك حسابات المستخدمين الإدارية وحسابات VPN.
تتضمن الإجراءات الأخرى التي يجب اتخاذها ما يلي: التدقيق لإعادة استخدام كلمة المرور بين بيانات اعتماد FortiGate VPN وحسابات مجال Active Directory؛ فرض المصادقة متعددة العوامل لجميع عمليات الوصول إلى VPN؛ وبيانات اعتماد حساب الخدمة الدورية.
قال شميدت، كبير مسؤولي العمليات في أمازون: “يعمل الذكاء الاصطناعي على تغيير الأمن على جانبي المعادلة، لكن المؤسسات التي تجمع بين أساسيات الأمان القوية والأدوات التي تدعم الذكاء الاصطناعي في وضع جيد يسمح لها بالبقاء في المقدمة”.
