Amazon veröffentlichte eine detaillierte Analyse einer unveröffentlichten Kampagne, in der ein russischsprachiger Schauspieler in der Lage war, mehr als 600 FortiGate Firewalls in 55 Ländern in nur fünf Wochen, zwischen 11. und 18. Februar 2026 zu verpflichten. Es war keine Ausbeutung unveröffentlichter Schwachstellen. oder ein Null-Tag: Die Angreifer nutzten Internet zugängliche Management-Schnittstellen und schwache Anmeldeinformationen ohne Schutz der Multifaktor-Authentifizierung, um die Türen zu den betroffenen Netzwerken zu öffnen. Sie können den technischen Bericht von Amazon auf seinem offiziellen technischen Blog lesen Hier..
Die Funktionsweise war, im Aussehen, ziemlich einfach und gefährlich für die effektive: massives Scannen von Ports, die mit Management-Panels verbunden sind (einschließlich 443, 8443, 10443 und 4443), brutale Kraft versucht mit gemeinsamen Passwörtern und Zugang zu Management-Konsolen, wenn die Verteidigung waren minimal. Einmal im Inneren entfernten die Angreifer die kompletten Gerätekonfigurationen: wiederherstellbare SSL-VPN-Anmeldeinformationen, administrative Anmeldeinformationen, Firewall-Richtlinien, IPsec-Konfigurationen und Netzwerkkarte und internes Routing. Dieser Datensatz gab ihnen die Sicht, sich seitlich innerhalb der Opfernetze zu bewegen.
Der Teil, der diesen Vorfall von traditionellen Angriffen unterscheidet, ist die Mischung von konventionellen Werkzeugen mit Fähigkeiten, die von IA-Modellen erzeugt werden. Amazon dokumentiert, dass die gestohlenen Konfigurationsdateien durch Werkzeuge in Python und Go verarbeitet und entschlüsselt wurden, die deutliche Anzeichen dafür zeigen, dass sie mit Hilfe von Sprachmodellen entwickelt wurden: redundante Kommentare, die wiederholen, was Funktionen tun, dicke Architektur konzentrierte sich mehr auf die Präsentation als auf Widerstandsfähigkeit, naive Parseus von JSON durch zufällige Kette und "Shims" mit leeren Dokumentationen. Diese Drucke sprechen von Code produziert von IA und verwendet ohne eine tiefe Überprüfung, funktionell in einfachen, aber zerbrechlichen Szenarien zu engeren Verteidigung.
Mit Anmeldeinformationen und Topologie in der Hand, die Angreifer automatisierte Erkennung Aufgaben: sie analysiert Routing-Tabellen, klassifizierte Subnetze nach Größe, ausgeführte Port-Scans mit öffentlichen Werkzeugen wie die Gogo-Scanner, gefunden SMB-Hosts und Domain-Controller und verwendet Nuclei, um exponierte Web-Dienste zu erkennen. Die gleichen operativen Notizen auf den angreifergesteuerten Servern beschreiben die Verwendung von Meterpreter und Mimikatz zur Durchführung von DCSync-Angriffen gegen Active Directory-Controller und Extrakt hashes NTLM, die laterale Bewegung und erhöhte Privilegien erleichtern.
Die Forscher fanden auch deutliche Aufmerksamkeit auf die Backup-Infrastruktur: Die Angreifer entwickelten und gehostete spezifische Skripte für das Ziel von Veeam Backup & Replication, einschließlich einer PowerShell, die als DecryptVeeamPasswords.ps1. Das Angreifen der Backups ist eine klassische Taktik, bevor Sie Ciphers einsetzen: Wenn Sie es schaffen, die Backups zu benutzen oder zu stehlen, hat das Opfer weniger Optionen, sich zu erholen. Amazon dokumentierte auch Versuche, bekannte Schwachstellen auszunutzen, wie CVE-2019-7192 über QNAP und mehrere Veeam verwandte Warnungen ( CVE-2023-27532 und CVE-2024-40711), obwohl viele dieser Betriebe nicht mit gestanzten und gehärteten Systemen umgegangen sind.
Ein besonders störender Aspekt ist die Art und Weise, wie die IA zum Maßstab menschlicher Fähigkeiten verwendet wurde. Amazon beschreibt, dass der Schauspieler mindestens zwei Sprachmodellanbieter verwendet, um schrittweise Angriffsmethoden zu generieren, Skripte in verschiedenen Sprachen zu erstellen, Design-Erkennungsrahmen, Plan-Seitenbewegungen und sogar interne operative Dokumentation zu schreiben. Bei einer dokumentierten Gelegenheit verwandelte der Angreifer eine interne Karte des Opfernetzes - mit IP-Adressen, Hostnamen, Anmeldeinformationen und Services identifiziert - in einen IA-Service und forderte Anweisungen, um weiter zu verbreiten. Das zeigt, wie IA-Dienste die technische Barriere für Akteure mit grundlegenden Fähigkeiten drastisch reduzieren können.
Amazon selbst qualifiziert den Angreifer mit einer technischen Kapazität zwischen Low und Medium, aber betont, dass die Kombination von Grundwissen mit IA-gestützten Werkzeugen seine Wirksamkeit erhöht. Für ungeschützte Netzwerke waren automatische Werkzeuge ausreichend, obwohl sie in starreren Umgebungen meist gescheitert waren. Wenn ein Ziel mit guter Praxis gepatelt oder konfiguriert wurde, ging der Schauspieler einfach an das nächste anfälligste Ziel, anstatt es gründlich auszunutzen.
Aus einer defensiven Perspektive sind die Empfehlungen die üblichen, aber mit neuer Dringlichkeit: setzen Sie die Management-Schnittstellen nicht auf das Internet, es sei denn, es ist wesentlich und durch starke Methoden geschützt sind; verwenden Sie Multifaktor-Authentifizierung in administrativen Zugriff und VPN; vermeiden Sie die Verwendung von gleichen Passwörtern zwischen VPN-Diensten und Active Directory-Konten; und schützen und Segment-Backup-Infrastrukturen, so dass sie nicht von der gleichen Menge der gestohlenen Anmeldeinformationen. Diese grundlegenden Maßnahmen setzen die in der Kampagne beobachteten Taktiken ein.
Über die Punktkorrekturen hinaus bringt die Folge eine klare Botschaft an Sicherheitsbeamte und Administratoren: Die Verbreitung von Codeassistenten und generativer Intelligenz verändert das Bedrohungsprofil. Werkzeuge, die Skripte Schreiben, Playbook-Generierung und Erkennungsautomatisierung erleichtern, ermöglichen Angreifern mit begrenztem Wissen, Kampagnen zu skalieren. Technologie bietet nicht nur neue Werkzeuge für Verteidiger, sondern demokratisiert auch Offensive Kapazitäten.
Um diesen neuen Kontext zu mindern, ist es angebracht, digitale Hygiene mit technischen und Prozessabwehren zu kombinieren: Netzsegmentierung, die die Portabilität von Anmeldeinformationen, Überwachung des administrativen Zugriffs mit Anomalien-Erkennung, Telemetrie-Aufzeichnungen, die den Wiederaufbau von Seitenbewegungen, regelmäßige Backups Wiederherstellung Tests in isolierten Umgebungen und regelmäßige Audits ermöglichen, die exponierte Schnittstellen und schwache Anmeldeinformationen identifizieren. Tiefe Verteidigung ist wieder die beste Antwort auf Kampagnen, die den einfachsten Weg suchen.
Der Amazon-Bericht ist öffentlich zugänglich und dokumentiert im Detail die technischen Artefakte, die auf den kontrollierten Servern des Angreifers gefunden werden, die für Antwortteams und Drohungsjäger nützlich sein können. Sie können ihn in der offiziellen AWS-Veröffentlichung konsultieren Hier. und überprüfen Sie die Hinweise auf Werkzeuge und CVE in den oben aufgeführten Quellen. Es wird auch empfohlen, die Sicherheitsbulletins des Herstellers zu überprüfen und zu bestätigen, dass die in jeder Organisation bereitgestellten Versionen nach offiziellen Anleitungen gepatelt und konfiguriert sind.
In strategischer Hinsicht erinnert dieser Vorfall daran, dass die IA-Revolution eine doppelte Kante haben wird: Beschleunigung der nützlichen Kapazitäten für gut, aber auch e-Sicherheitsrisikoverstärkung. Die Antwort muss eine Mischung aus besserer Verteidigungstechnologie, kontinuierliche Schulung von Geräten und Politiken sein, die die Expositionsoberfläche reduzieren. Wenn eines klar ist, ist der Kampf zum Schutz kritischer Infrastruktur nicht mehr nur gegen diejenigen, die die anspruchsvollste Explosion dominieren, sondern auch gegen diejenigen, die wissen, wie man zugängliche Werkzeuge mit Kreativität kombinieren kann, um grundlegende Konfigurationsfehler auszunutzen.
Wenn Sie FortiGate verwalten oder eine Remote Access-Plattform, überprüfen Sie Management-Einstellungen, aktivieren Sie MFA auf allen privilegierten Konten, überprüfen Sie Protokolle und Konfiguration Snapshots für ungewöhnliche Aktivität und stärken Sie Ihre Backups. Kleine technische Gesten können heute verhindern, dass die Automatisierung von morgen Ihnen eine weitere Statistik macht.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...