- Hackers russos violaram firewalls FortiGate usando credenciais fracas
- Scripts gerados por IA permitiram análise de dados, insights e movimento lateral
- A campanha teve como alvo os servidores Veeam; o invasor abandonou sistemas protegidos
Um hacker russo foi recentemente flagrado invadindo centenas de firewalls, mas o que realmente faz esta campanha se destacar é que um ator de ameaça aparentemente não qualificado foi capaz de realizar ataques com a ajuda da inteligência artificial generativa (GenAI).
Em uma nova análise, o CISO de segurança integrada da Amazon, CJ Moses, explicou como os pesquisadores examinaram “sistematicamente” as interfaces de gerenciamento do FortiGate nas portas 443, 8443, 10443 e 4443 em busca de um agente de ameaça.
Depois de encontrar um alvo potencial, eles o aplicaram à força bruta, tentando inúmeras combinações de credenciais comumente usadas e fracas até que uma funcionasse.
Um pouco áspero nas bordas
Uma vez lá dentro, o hacker extraiu todos os arquivos de configuração do dispositivo (credenciais de usuário SSL-VPN, senhas recuperáveis, credenciais administrativas, políticas de firewall e arquitetura de rede interna, etc.) e os analisou, descriptografou e organizou-os usando scripts Python gerados por IA.
Em seguida, eles usaram as credenciais VPN recuperadas para se conectar a redes internas, implantando ferramentas personalizadas de insights geradas por IA (escritas em Go e Python) e migrando para o Active Directory.
“A análise do código-fonte mostra indicadores claros de desenvolvimento assistido por IA: comentários redundantes que apenas refazem nomes de funções, arquitetura simplista com investimento desproporcional em formato em vez de funcionalidade, análise ingênua de JSON por meio de correspondência de strings em vez de desserialização adequada e correção de compatibilidade de linguagem integrada com documentos vazios”, disse Moses na documentação.
“Embora funcional para o caso de uso específico do agente da ameaça, a ferramenta carece de robustez e falha em casos extremos, típicos de código gerado por IA que é usado sem muitas melhorias”.
O invasor também teve como alvo específico os servidores Veeam Backup & Replication, implantando ferramentas de extração de credenciais e tentando explorar vulnerabilidades conhecidas da Veeam.
Tudo isto foi feito em poucas semanas, entre 11 de janeiro e 18 de fevereiro de 2026, porque os investigadores acreditavam que o agressor era incompetente; na verdade, durante suas operações, eles tentaram explorar vários CVEs, mas falharam quando os alvos foram corrigidos ou reforçados. Muitas vezes ignoravam ambientes bem protegidos e procuravam alvos fáceis.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
