Amazon: AI giúp hacker xâm nhập hơn 600 tường lửa Fortinet ở 55 nước

4 giờ trướcBài gốc

CJ Moses, Giám đốc An ninh Thông tin của Amazon Integrated Security, cho biết chiến dịch này diễn ra từ ngày 11.1 đến 18.2 và không khai thác bất kỳ lỗ hổng nào để xâm nhập tường lửa Fortinet.

Thay vào đó, hacker nhắm vào các giao diện quản trị bị lộ trên Internet và thông tin đăng nhập yếu không được bảo vệ bằng xác thực đa yếu tố (MFA), sau đó sử dụng AI để tự động hóa việc truy cập các thiết bị khác trên mạng đã bị xâm nhập.

CJ Moses cho biết các tường lửa bị xâm nhập được ghi nhận tại Nam Á, Mỹ Latinh, Caribe, Tây Phi, Bắc Âu, Đông Nam Á và nhiều khu vực khác.

Amazon Integrated Security là bộ phận an ninh tổng thể của Amazon, chịu trách nhiệm bảo vệ toàn bộ hệ thống công nghệ, hạ tầng đám mây, dữ liệu và hoạt động nội bộ của công ty.

Tường lửa Fortinet là thiết bị bảo mật mạng do hãng an ninh mạng Fortinet (Mỹ) sản xuất. Fortinet chuyên phát triển các sản phẩm và dịch vụ bảo mật như tường lửa, VPN (mạng riêng ảo), hệ thống phát hiện xâm nhập và bảo vệ mạng doanh nghiệp.

Fortinet được thành lập năm 2000 bởi hai anh em Ken Xie và Michael Xie. Sản phẩm nổi tiếng nhất của Fortinet là dòng tường lửa FortiGate, được sử dụng rộng rãi bởi doanh nghiệp, ngân hàng, chính phủ và trung tâm dữ liệu trên toàn thế giới. Hiện nay, hơn 890.000 tổ chức và doanh nghiệp đang sử dụng các giải pháp bảo mật của Fortinet.

Chiến dịch tấn công sử dụng AI

Amazon cho biết phát hiện chiến dịch sau khi tìm thấy một máy chủ lưu trữ các công cụ độc hại dùng để nhắm mục tiêu vào tường lửa FortiGate.

Trong chiến dịch này, hacker nhắm vào các giao diện quản trị FortiGate được kết nối với internet bằng cách quét các dịch vụ đang chạy trên các cổng 443, 8443, 10443 và 4443. Việc nhắm mục tiêu được cho là mang tính cơ hội chứ không tập trung vào bất kỳ ngành công nghiệp cụ thể nào.

Thay vì khai thác các lỗ hổng bảo mật chưa được vá (zero-day) như thường thấy với thiết bị FortiGate, hacker sử dụng các cuộc tấn công vét cạn (brute-force) với các mật khẩu phổ biến để truy cập thiết bị.

Sau khi xâm nhập, hacker trích xuất các file cấu hình thiết bị. Tiếp đó, hacker phân tích cú pháp, giải mã các file cấu hình này bằng công cụ được viết bằng Python và Go với sự hỗ trợ của AI.

Python là ngôn ngữ dễ viết, linh hoạt và có rất nhiều thư viện hỗ trợ, nên thường được dùng để viết các công cụ trinh sát, khai thác lỗ hổng, trích xuất mật khẩu hoặc tự động hóa tấn công. Go (còn gọi là Golang) là ngôn ngữ do Google phát triển, có ưu điểm chạy rất nhanh, tiêu tốn ít tài nguyên và dễ tạo các chương trình chạy độc lập, nên thường được dùng để xây dựng công cụ quét mạng quy mô lớn, backdoor (cửa hậu), malware (phần mềm độc hại) hoặc hệ thống điều khiển tấn công.

"Sau khi truy cập mạng nạn nhân thông qua VPN, kẻ tấn công sẽ triển khai một công cụ trinh sát tùy chỉnh, với các phiên bản khác nhau được viết bằng cả Go và Python. Phân tích mã nguồn cho thấy nhiều dấu hiệu rõ ràng cho thấy chương trình được viết với sự hỗ trợ của AI", Amazon giải thích.

Tập đoàn thương mại điện tử Mỹ nhận định các công cụ này hoạt động được nhưng thiếu độ ổn định và thường thất bại trong các tình huống phức tạp. Đó là đặc điểm điển hình của mã do AI tạo ra nhưng chưa được tinh chỉnh đầy đủ.

Amazon cho biết hacker nói tiếng Nga sử dụng nhiều dịch vụ AI tạo sinh để xâm nhập hơn 600 tường lửa FortiGate tại 55 quốc gia chỉ sau 5 tuần - Ảnh: Internet

Tự động hóa trinh sát và mở rộng xâm nhập

Các công cụ này được sử dụng để tự động hóa quá trình trinh sát mạng bị xâm nhập bằng cách phân tích bảng định tuyến, phân loại mạng theo quy mô, chạy quét cổng bằng công cụ mã nguồn mở gogo scanner, xác định các máy chủ SMB và bộ điều khiển miền, sử dụng Nuclei để tìm kiếm các dịch vụ HTTP.

Máy chủ SMB là máy chủ sử dụng giao thức SMB (Server Message Block) để chia sẻ file, thư mục, máy in hoặc các tài nguyên mạng khác giữa các máy tính trong cùng hệ thống.

Nuclei là công cụ quét lỗ hổng bảo mật mã nguồn mở, được phát triển bởi tổ chức ProjectDiscovery để tự động phát hiện các lỗ hổng phổ biến trên website, ứng dụng web, API (giao diện lập trình ứng dụng) và hạ tầng mạng.

Các nhà nghiên cứu cho biết những công cụ đó hoạt động tốt ở môi trường đơn giản nhưng thường thất bại trong hệ thống được bảo mật chặt chẽ hơn.

Theo Amazon, các hacker thường nhắm mục tiêu vào hệ thống sao lưu dữ liệu trước khi triển khai ransomware (mã độc tống tiền), nhằm ngăn nạn nhân khôi phục lại các file đã bị mã hóa từ bản sao lưu.

Hacker đã nhiều lần cố khai thác các lỗ hổng bảo mật khác nhau, gồm CVE-2019-7192 (lỗ hổng cho phép thực thi mã từ xa trên thiết bị của hãng công nghệ QNAP), CVE-2023-27532 (lỗ hổng làm lộ thông tin trên hệ thống Veeam), và CVE-2024-40711 (lỗ hổng thực thi mã từ xa trên hệ thống Veeam).

Hệ thống Veeam là hệ thống phần mềm dùng để sao lưu, khôi phục và bảo vệ dữ liệu, được phát triển bởi công ty Veeam Software (Mỹ).

Báo cáo cho biết hacker đã nhiều lần thất bại khi cố gắng xâm nhập vào các hệ thống đã được vá lỗi hoặc cấu hình bảo mật chặt chẽ. Thay vì tiếp tục cố gắng giành quyền truy cập, kẻ tấn công đã chuyển sang các mục tiêu dễ dàng hơn.

Dù Amazon nhận định rằng hacker chỉ có trình độ kỹ thuật từ thấp đến trung bình, nhưng khả năng của chúng đã được tăng lên đáng kể nhờ sử dụng AI.

Các nhà nghiên cứu cho biết kẻ tấn công đã sử dụng ít nhất hai nhà cung cấp mô hình ngôn ngữ lớn trong suốt chiến dịch để:

Xây dựng các phương pháp tấn công từng bước.

Phát triển các kịch bản tùy chỉnh bằng nhiều ngôn ngữ lập trình khác nhau.

Xây dựng các khuôn khổ trinh sát.

Lập kế hoạch di chuyển sang các hệ thống khác trong cùng mạng sau khi đã xâm nhập được một máy ban đầu.

Soạn thảo tài liệu vận hành.

Trong một trường hợp, kẻ tấn công được cho là đã gửi toàn bộ sơ đồ mạng nội bộ của nạn nhân, gồm địa chỉ IP, tên máy chủ, thông tin đăng nhập và các dịch vụ đã biết, cho một dịch vụ AI và nhờ gợi ý cách tấn công các máy khác để chiếm thêm quyền kiểm soát.

Theo Amazon, chiến dịch này cho thấy các dịch vụ AI thương mại đang giúp hacker dễ dàng thực hiện tấn công mạng hơn ngay cả khi không có nhiều kỹ năng kỹ thuật. Nhờ AI hỗ trợ, những hacker có trình độ thấp hoặc trung bình vẫn có thể tiến hành các cuộc tấn công mà bình thường họ không đủ khả năng thực hiện.

Công ty khuyến nghị các quản trị viên FortiGate không nên để lộ giao diện quản trị trên internet, đảm bảo đã bật xác thực đa yếu tố (MFA), đảm bảo mật khẩu VPN không trùng với mật khẩu của các tài khoản Active Directory và tăng cường bảo mật cho cơ sở hạ tầng sao lưu.

Active Directory là hệ thống quản lý tài khoản và quyền truy cập trong mạng doanh nghiệp do Microsoft phát triển. Nó thường chạy trên Windows Server và đóng vai trò như “trung tâm quản lý người dùng” trong công ty.

Gần đây, Google báo cáo rằng các hacker đang lạm dụng Gemini trong tất cả giai đoạn của cuộc tấn công mạng, tương tự như những gì Amazon quan sát thấy trong chiến dịch này.

Sơn Vân

Nguồn Một Thế Giới : https://1thegioi.vn/amazon-ai-giup-hacker-xam-nhap-hon-600-tuong-lua-fortinet-o-55-nuoc-246569.html