- قام المتسللون الروس بإجبار جدران الحماية FortiGate باستخدام بيانات اعتماد ضعيفة
- مكنت البرامج النصية التي تم إنشاؤها بواسطة الذكاء الاصطناعي من تحليل البيانات والاستطلاع والحركة الجانبية
- استهدفت الحملة خوادم Veeam؛ تخلى المهاجم عن الأنظمة المحصنة
شوهد مؤخرًا متسلل روسي وهو يشق طريقه إلى مئات جدران الحماية – ولكن ما يجعل هذه الحملة بارزة حقًا هو حقيقة أن ممثل التهديد الذي يبدو منخفض المهارات كان قادرًا على تنفيذ الهجمات بمساعدة الذكاء الاصطناعي التوليدي (GenAI).
في تحليل جديد، أوضح سي جيه موسيس، رئيس قسم تكنولوجيا المعلومات في Amazon Integrated Security، كيف لاحظ الباحثون أحد عناصر التهديد الذي يقوم بالمسح “بشكل منهجي” بحثًا عن واجهات إدارة FortiGate المكشوفة عبر المنافذ 443، و8443، و10443، و4443.
وبعد العثور على هدف محتمل، شقوا طريقهم بالقوة، وجربوا مجموعات لا حصر لها من بيانات الاعتماد الشائعة الاستخدام والضعيفة، حتى نجحت إحداها.
خشنة بعض الشيء حول الحواف
بمجرد الدخول، استخرج المتسلل ملفات تكوين الجهاز بالكامل (بيانات اعتماد مستخدم SSL-VPN مع كلمات مرور قابلة للاسترداد، وبيانات الاعتماد الإدارية، وسياسات جدار الحماية وبنية الشبكة الداخلية، والمزيد) وقام بتحليلها وفك تشفيرها وتنظيمها باستخدام نصوص Python النصية التي تم إنشاؤها بواسطة الذكاء الاصطناعي.
ثم استخدموا بيانات اعتماد VPN المستردة للاتصال بالشبكات الداخلية، ونشر أدوات استطلاع مخصصة تم إنشاؤها بواسطة الذكاء الاصطناعي (مكتوبة بلغة Go وPython) والانتقال إلى Active Directory.
“يكشف تحليل الكود المصدري عن مؤشرات واضحة للتطوير بمساعدة الذكاء الاصطناعي: التعليقات المتكررة التي تعيد ذكر أسماء الوظائف فقط، والهندسة المعمارية المبسطة مع الاستثمار غير المتناسب في التنسيق على الوظائف، وتحليل JSON الساذج عبر مطابقة السلسلة بدلاً من إلغاء التسلسل المناسب، وحشوات التوافق للغة المدمجة مع كعب التوثيق الفارغ،” قال موسى.
“على الرغم من أنها تعمل في حالة الاستخدام المحددة لممثل التهديد، إلا أن الأدوات تفتقر إلى القوة وتفشل في حالات الحافة – وهي خصائص نموذجية للتعليمات البرمجية التي تم إنشاؤها بواسطة الذكاء الاصطناعي المستخدمة دون تحسين كبير.”
واستهدف المهاجم أيضًا على وجه التحديد خوادم Veeam Backup & Replication، ونشر أدوات استخراج بيانات الاعتماد ومحاولة استغلال ثغرات Veeam المعروفة.
تم تنفيذ كل هذا في غضون بضعة أسابيع فقط، بين 11 يناير و18 فبراير 2026، مما دفع الباحثين إلى الاعتقاد بأن المهاجم غير ماهر إلى حد ما – حيث حاولوا طوال عملياتهم استغلال العديد من التهديدات الإرهابية الخطيرة لكنهم فشلوا إلى حد كبير عندما تم تصحيح الأهداف أو تقويتها. لقد تخلوا في كثير من الأحيان عن البيئات المحمية جيدًا وانتقلوا إلى أهداف أسهل.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات