كشفت Amazon Threat Intelligence عن رصد حملة اختراق واسعة النطاق استهدفت أجهزة Fortinet FortiGate حول العالم، حيث تمكن المهاجمون من الوصول إلى أكثر من 600 جهاز موزعة في أكثر من 55 دولة. بدأت هذه الحملة العالمية من يوم السبت 11 يناير 2026 واستمرت حتى الأربعاء 18 فبراير 2026. تعكس هذه الحملة تعكس اتجاهاً متسارعاً يُمكن المهاجمين ذوي الخبرة المحدودة من تنفيذ عمليات واسعة النطاق عبر الاستعانة بخدمات ذكاء اصطناعي توليدي تجارية.
أخطاء الإدارة كمدخل رئيسي للهجمات
أكدت Amazon أن الحملة اعتمدت في نجاحها على أخطاء تشغيلية أساسية ارتكبها مدراء النظم، وتتمثل في تعريض واجهات الإدارة لشبكة الإنترنت العامة، والاعتماد على بيانات اعتماد ضعيفة مع استخدام المصادقة أحادية العامل. والمصادقة أحادية العامل تعني اكتفاء النظام بكلمة المرور وحدها للسماح بالدخول، دون وجود خطوة أمان إضافية مثل الرمز المؤقت الذي يصل إلى الهاتف المحمول.
وبحسب تقرير AWS Security Blog، فإن المهاجمين بدؤوا عملهم عبر مسح الإنترنت بحثاً عن واجهات إدارة FortiGate المكشوفة. مركزين على منافذ إدارة الأجهزة الشائعة، مثل 443 و8443 و10443 و4443، ثم نفذوا محاولات دخول اعتماداً على بيانات اعتماد شائعة أو معاد استخدامها للحصول على الوصول الأولي.
مخاطر ملفات التهيئة
أعطت Amazon أهمية كبرى لطبيعة البيانات الموجودة داخل ملفات تهيئة أجهزة FortiGate، والتي تتضمن بيانات اعتماد إدارية وبيانات مستخدمي SSL-VPN، بما في ذلك كلمات مرور قابلة للاسترجاع في بعض السيناريوهات، بالإضافة إلى خريطة الشبكة وسياسات الجدار الناري وإعدادات VPN. يمنح وجود هذه البيانات المهاجم قدرة كاملة على فهم بيئة الشبكة من الأجهزة الطرفية، وهي نقطة الاتصال الحساسة التي تفصل بين الشبكة الداخلية والإنترنت، ما يسهل عليه التحرك بعمق داخل النظام.
بعد الوصول إلى الشبكات عبر VPN أو عبر البيانات المستخرجة من التهيئات، رصدت Amazon سلسلة أنشطة لاحقة تعكس نمطاً شائعاً في هجمات الابتزاز. شملت هذه الأنشطة التركيز على نظام Active Directory، وهو النظام المسؤول عن إدارة هويات المستخدمين وصلاحياتهم داخل بيئات Windows، حيث حاول المهاجمون استخراج ما يُعرف بـ NTLM hashes والحصول على قواعد بيانات بيانات الاعتماد كاملة.
كما رصدت Amazon حركة جانبية داخل الشبكات باستخدام أساليب مثل pass-the-hash وpass-the-ticket مع الاعتماد على أدوات هجومية مفتوحة المصدر. كما شملت الحملة استهداف خوادم Veeam Backup & Replication بحثاً عن بيانات اعتماد إضافية، وهو مؤشر اعتبرته Amazon متسقاً مع تحضيرات محتملة لهجمات فدية، حيث يسعى المهاجم لإضعاف قدرة الضحية على استعادة بياناته من النسخ الاحتياطية قبل تشفيرها.
دور الذكاء الاصطناعي كمضاعف للقوة
على الرغم من اتساع هذه الحملة، فقد لاحظت Amazon أن المهاجم بدا محدود المهارة في المراحل التي تتطلب تكيُّفاً أو تطويراً عميقاً، إذ كان يتراجع عند مواجهة بيئات محصنة أو محدثة، ويتجه بدلاً من ذلك إلى أهداف أسهل. لم تقدم Amazon هذه الحملة بوصفها اختراقاً بقدرات خارقة، بل قدمتها بوصفها مثالاً عملياً على أن الذكاء الاصطناعي صار مضاعفاً لحجم الهجمات وسرعتها.
ذكر التقرير أن المهاجم استخدم أكثر من مزود LLM، وهي النماذج اللغوية الكبيرة للذكاء الاصطناعي، لصياغة خطط هجوم تفصيلية، وتوليد أو تحسين أدوات برمجية، منها سكربتات لغة Python المخصصة لتحليل وتنظيم التهيئات المسروقة.
أدلة الاستخدام التوليدي والأساسيات الدفاعية
اكتشف فريق الرصد أن المهاجم خزن ملفات تشغيلية حساسة على بنية تحتية مكشوفة، تضمنت خططاً مولدة بالذكاء الاصطناعي وتهيئات الضحايا وشيفرات أدوات مخصصة، ما منح فريق الرصد رؤية مباشرة على سير عمل كامل يعتمد على الذكاء الاصطناعي من مرحلة التخطيط حتى التنفيذ.
تؤكد دلالات هذه الحملة أن الأخطاء الإدارية عادت لتكون في مقدمة المخاطر، وخلصت Amazon إلى أن الأساسيات الدفاعية تظل هي الأكثر فعالية، وذلك عبر إغلاق واجهات الإدارة عن الإنترنت، وفرض نظام المصادقة متعددة العوامل MFA، ومنع إعادة استخدام كلمات المرور، وتقييد الوصول الإداري على نطاقات IP معلومة فقط.
