亚马逊称黑客利用AI在数周内攻破600台防火墙

根据亚马逊周四发布的最新研究,一小群俄语黑客——或可能只是一个人——利用市售的人工智能工具,在数周内攻破了遍布55个以上国家的600多台Fortinet FortiGate防火墙。

亚马逊威胁情报团队发现,这次从2026年1月11日持续至2月18日的攻击活动,利用的是基础安全漏洞,而非复杂的软件漏洞。攻击者依靠AI生成的脚本和攻击方案,针对暴露的管理端口和仅受单因素身份验证保护的弱密码凭证发起攻击——这些都是基础性的安全缺陷,而AI帮助技术水平较低的攻击者以原本不可能达到的规模加以利用。

AI作为效能倍增器

这些发现在亚马逊首席信息安全官CJ Moses的博客文章中有详细描述,展现了一条由AI驱动的网络犯罪流水线。威胁行为者在整个行动中至少使用了两个不同的商业大语言模型提供商,一个作为主要的工具开发者和攻击策划者,另一个作为在受感染网络中横向移动的辅助助手。

"没有观察到对FortiGate漏洞的利用——相反,这次攻击活动的成功是通过利用暴露的管理端口和使用单因素身份验证的弱凭证,这些都是基本的安全漏洞,而AI帮助技术水平不高的攻击者大规模利用了这些漏洞,"Moses写道。

亚马逊评估这名或这些黑客"具有中低水平的基础技术能力,但通过AI得到了显著增强"。当攻击者遇到加固的环境或更高级的防御时,他们只是转向更容易攻破的目标,而不是持续尝试——这突显出他们的优势在于AI增强的效率,而非更深厚的技术能力。

勒索软件攻击前的准备活动

攻击者在攻破FortiGate设备后,提取了包含SSL-VPN用户凭证、管理员密码和完整网络拓扑信息的完整设备配置。随后,他们利用窃取的凭证渗透到受害者内部网络,攻陷Active Directory环境,提取凭证数据库,并针对备份基础设施发动攻击。

亚马逊的研究人员表示,这些活动"与勒索软件攻击前的准备行动一致",表明这些入侵是在为未来部署勒索软件奠定基础,而不是攻击的最终目的。

该攻击活动似乎是机会主义性质的,而非针对特定行业,被攻陷的设备集中分布在南亚、拉丁美洲、加勒比地区、西非、北欧和东南亚。

日益增长的趋势

这些发现正值针对 Fortinet 设备的攻击浪潮不断加剧之际。自 2025 年末以来,FortiGate 防火墙一直遭受利用身份验证绕过漏洞的反复攻击活动,包括 CVE-2025-59718 和另一个零日漏洞 CVE-2026-24858,Fortinet 已在 1 月下旬对其进行了修补。亚马逊表示,其记录的攻击活动并未利用这些漏洞,而是依赖于更基础的配置错误。

亚马逊表示已与相关合作伙伴共享威胁指标,并通过跨行业协作来削弱该威胁行为者的行动效力。Moses 敦促各组织优先保护网络边缘设备、强化凭证管理,并监控利用后攻击的指标——尤其是在 AI 持续降低潜在攻击者准入门槛的情况下。

Moses 写道:"由于我们预计这一趋势将在 2026 年持续,各组织应预见到,无论是熟练还是非熟练的攻击者,AI 增强型威胁活动的数量都将继续增长。"