AWS menggambarkan kampanye ini sebagai ‘jalur perakitan yang didukung AI untuk kejahatan dunia maya’.
Layanan AI komersial menurunkan hambatan teknis yang diperlukan untuk melakukan kejahatan dunia maya, dan Amazon telah memperingatkan bahwa tren ini akan terus berlanjut.
Amazon Web Services (AWS) mengatakan baru-baru ini mengamati apa yang digambarkannya sebagai aktor ancaman berbahasa Rusia dan bermotivasi finansial yang memanfaatkan beberapa layanan AI generatif komersial (GenAI) untuk menyusupi lebih dari 600 perangkat FortiGate di lebih dari 55 negara antara 11 Januari dan 18 Februari.
FortiGate adalah firewall generasi baru yang memberikan perlindungan jaringan tingkat lanjut jika dibandingkan dengan firewall tradisional.
AWS menggambarkan peretas sebagai individu atau kelompok kecil “sederhana” yang dipersenjatai dengan alat AI yang membantu mereka mencapai skala operasional untuk melakukan serangan, sesuatu yang sebelumnya membutuhkan tim yang jauh lebih besar dan terampil.
Kampanye ini menonjol di AWS karena penggunaan beberapa layanan GenAI komersial oleh kelompok peretas. AWS menggambarkan kampanye ini sebagai “jalur perakitan yang didukung AI untuk kejahatan dunia maya, membantu pekerja yang kurang terampil berproduksi dalam skala besar”, dalam sebuah blog yang ditulis oleh CJ Moses, yang memimpin teknik keamanan dan operasi di Amazon.
Pelaku ancaman menyusupi peralatan FortiGate yang tersebar secara global, mengakses kredensial dan informasi konfigurasi perangkat. Mereka kemudian menggunakan kredensial yang dicuri ini untuk terhubung ke jaringan internal korban guna mengakses lebih banyak kredensial dan mencoba mengakses infrastruktur cadangan.
Menurut pengamatan AWS, kerentanan FortiGate tidak dieksploitasi oleh peretas. Sebaliknya, kampanye tersebut mengeksploitasi port manajemen yang terbuka dan kredensial yang lemah dengan autentikasi satu faktor.
Selain itu, ketika pelaku menghadapi lingkungan yang lebih aman, mereka beralih ke target yang lebih lunak dibandingkan bertahan, yang berarti kemampuan mereka mungkin terletak pada efisiensi dan skala yang ditambah dengan AI, bukan keterampilan teknis yang lebih dalam, menurut AWS.
Penargetan tersebut tampak bersifat oportunistik dibandingkan spesifik pada sektor tertentu, karena menyerang peralatan yang rentan melalui pemindaian massal menggunakan alat AI, kata AWS.
Pelaku ancaman dalam kampanye ini tidak diketahui terkait dengan kelompok ancaman persisten tingkat lanjut yang memiliki sumber daya yang disponsori negara, jelas blog tersebut. Amazon menyatakan tidak ada kompromi dalam insiden ini.
Untuk meresponsnya, AWS merekomendasikan agar organisasi yang menjalankan peralatan FortiGate harus memastikan antarmuka manajemen tidak terekspos ke internet, dan menyarankan agar organisasi mengubah semua kredensial default dan umum pada peralatan FortiGate, termasuk akun pengguna administratif dan VPN.
Selain itu, AWS merekomendasikan agar organisasi menerapkan kata sandi yang unik dan rumit untuk semua akun.