Rosyjskojęzyczny haker miał przejąć ponad 600 zapór Fortinet FortiGate w 55 krajach, wykorzystując brute force, brak MFA oraz narzędzia wspomagane przez generatywną AI. To przykład na to, jak sztuczna inteligencja może być wykorzystywana jako narzędzie masowych ataków – szczególnie tam, gdzie wciąż występują podstawowe błędy konfiguracyjne
Setki zapór FortiGate przejętych w zautomatyzowanej kampanii
W okresie od 11 stycznia do 18 lutego 2026 r. rosyjskojęzyczny haker miał skompromitować ponad 600 urządzeń FortiGate w 55 krajach. Według dostępnych analiz ataki były w dużej mierze zautomatyzowane i wspierane przez narzędzia generatywnej sztucznej inteligencji.
Celem były urządzenia z wystawionymi do internetu interfejsami zarządzania, dostępnymi na popularnych portach HTTPS (443, 8443, 10443 oraz 4443).
Łańcuch ataku: skanowanie, brute force i brak MFA
Atakujący rozpoczynali działania od masowego skanowania sieci w poszukiwaniu dostępnych interfejsów administracyjnych. Następnie przeprowadzane były ataki brute force, wykorzystując słabe hasła oraz brak uwierzytelniania wieloskładnikowego (MFA).
To właśnie połączenie publicznie dostępnego panelu administracyjnego, niewystarczająco silnych poświadczeń oraz braku dodatkowej warstwy uwierzytelniania umożliwiało uzyskanie początkowego dostępu do systemów.
Po przejęciu kontroli nad zaporą napastnicy przystępowali do eksfiltracji danych z plików konfiguracyjnych i kopii zapasowych. Pozyskiwane informacje obejmowały m.in. dane dostępowe do VPN, konta administratorów oraz szczegóły architektury sieci wewnętrznej.
AI jako wsparcie dla atakującego
W kampanii wykorzystywano narzędzia napisane w Pythonie i Go, wspierane przez duże modele językowe (LLM). Analiza wskazuje, że atakujący korzystali z komercyjnych modeli AI – m.in. za pośrednictwem własnego serwera MCP o nazwie ARXON – do generowania planów ataku, skryptów, strategii ruchu lateralnego oraz dokumentacji działań.
AI była wykorzystywana do:
- automatyzacji rekonesansu i skanowania portów,
- identyfikacji kontrolerów domeny i systemów backupu,
- odszyfrowywania i parsowania plików konfiguracyjnych,
- przygotowywania skryptów ułatwiających dalszą penetrację środowiska.
W praktyce pozwoliło to znacząco zwiększyć skalę i tempo działań, podnosząc możliwości relatywnie nisko wykwalifikowanego atakującego do poziomu operatora prowadzącego globalną kampanię.
Badacze podkreślają jednak, że narzędzia wspomagane przez AI wciąż mają ograniczenia i potrafią zawodzić w bardziej złożonych scenariuszach. Nie zmienia to faktu, że ich masowe wykorzystanie przyspiesza i upraszcza prowadzenie ataków.
Wnioski dla organizacji
Opisana kampania pokazuje, że nawet zaawansowane technologie ochronne nie są skuteczne, jeśli podstawowe zasady bezpieczeństwa nie są przestrzegane. Wystawione do internetu interfejsy zarządzania, słabe hasła oraz brak MFA wciąż pozostają jednymi z najczęściej wykorzystywanych wektorów ataku.
W dobie automatyzacji i wsparcia AI dla cyberprzestępców szczególnego znaczenia nabiera eliminowanie podstawowych, łatwych do wykorzystania błędów bezpieczeństwa. Regularny przegląd konfiguracji urządzeń brzegowych, wymuszanie silnych haseł, obowiązkowe MFA dla kont administracyjnych oraz ograniczenie dostępu do paneli zarządzania wyłącznie z wybranych adresów IP powinny być dziś absolutnym standardem.
Sztuczna inteligencja nie tworzy nowych podatności – ale znacząco przyspiesza wykorzystywanie tych, które już istnieją.
Źródła:
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
