Nem sérülékenységeket, hanem gyenge jelszavakat használtak ki
A hacker nem klasszikus sérülékenységeket vagy nulladik napi hibákat használt ki, hanem internetre nyitva hagyott tűzfalkezelő felületeket keresett, amelyek védtelen, többfaktoros azonosítással nem védett fiókokkal működtek. Az MI segített a támadónak abban, hogy automatizálja a hálózaton belüli további eszközök elérését, miután sikerült bejutnia.
Automatizált hálózati feltérképezés MI-vel
A támadó különböző portokat (443, 8443, 10443, 4443) pásztázott, hogy rátaláljon a nyitott felületekre. Miután betört, megszerezte a tűzfal konfigurációs állományait, amelyek tartalmazták a VPN-felhasználók adatait, az adminisztrátori hozzáféréseket, a belső hálózat felépítését, valamint az összes tűzfal-szabályt. Ezeket az adatokat MI-vel támogatott Python- és Go-eszközökkel fejtette meg és elemezte.
Ezenfelül saját, MI-segítséggel készült eszközöket vetett be, amelyek csak alapszinten működtek, és gyakran elbuktak összetettebb rendszerekben. Ezek a szoftverek hálózati topológiát térképeztek fel, portszkennelést végeztek, SMB-kiszolgálókat és tartományvezérlőket azonosítottak, illetve HTTP-szolgáltatásokat kerestek.
Mentési rendszerek célkeresztben
A támadó részletes orosz nyelvű leírásokat is készített a Meterpreter és a mimikatz használatáról, hogy Veeam Backup & Replication szerverekre, Windows-tartományvezérlőkre támadjon, illetve az Active Directory-adatbázisból NTLM-jelszó-hasheket emeljen ki. Egy PowerShell-szkriptet is elhelyezett az egyik szerveren, hogy automatizálja a mentési rendszerek elleni támadásokat; ezek nélkül a zsarolóvírus-támadások kevésbé hatékonyak.
Az elkövető több, a Veeam-et és a QNAP-ot érintő sérülékenységet próbált kihasználni, de ha egy rendszer jól védett vagy naprakész volt, inkább gyorsan továbbállt, és könnyebb célpontokat választott.
MI: az új betörő segédje
Noha a támadó technikai tudása közepesnek számított, az MI-szolgáltatások—többek között legalább két nagy nyelvi modell—jelentősen megnövelték a képességeit. Ezek révén lépésről lépésre generált támadási leírásokat, egyedi szkripteket, feltérképezési stratégiákat és dokumentációt is készített. Volt olyan eset, amikor az áldozatok teljes belső hálózati felépítését, eszközlistáját, jelszavait és szolgáltatásait is feltöltötte egy MI-szolgáltatásba útmutatásért.
A következmények messzire nyúlnak: a kereskedelmi MI-szolgáltatások jelentősen csökkentik a kiberbűnözés belépési küszöbét, lehetővé téve kevésbé képzett támadók számára is komoly akciókat.
Amazon-szakértők szerint a FortiGate-tűzfalat üzemeltetőknek nem szabad internetre nyitniuk a kezelői felületet, kötelezően be kell kapcsolniuk a többfaktoros azonosítást, védeniük kell a mentéseket, és gondoskodniuk kell arról, hogy a VPN-jelszavak ne egyezzenek az Active Directoryhoz használtakkal.
Ezenfelül a Google jelentései szerint a hackerek már a Gemini MI-t is hasonló módon vetik be, ahogyan azt most az Amazon platformja érzékelte.
