كشفت وحدة Amazon Threat Intelligence عن حملة اختراق واسعة استهدفت أجهزة FortiGate في أكثر من 55 دولة، نفذها مهاجم ناطق بالروسية مدفوع بدوافع مالية، مستعيناً بخدمات الذكاء الاصطناعي التوليدي التجارية لتنفيذ الهجمات على نطاق غير مسبوق. الحملة التي رُصدت بين 11 يناير و18 فبراير 2026 لم تعتمد على استغلال ثغرات معروفة، بل استغلت منافذ الإدارة المكشوفة وكلمات المرور الضعيفة مع الاعتماد على المصادقة أحادية العامل.
كيف ساعد الذكاء الاصطناعي المهاجم؟
رغم محدودية القدرات التقنية للمهاجم، فقد تمكن من التغلب على هذه العقبة عبر استخدام عدة أدوات ذكاء اصطناعي تجارية في مراحل مختلفة من دورة الهجوم، مثل تطوير الأدوات، التخطيط للهجوم، وتوليد الأوامر. إحدى الأدوات شكلت العمود الفقري للعملية، بينما استُخدمت أداة أخرى كخطة بديلة للمناورة داخل الشبكات المخترقة. هذا النهج حوّل العملية إلى ما يشبه “خط إنتاج للجريمة السيبرانية مدعوم بالذكاء الاصطناعي”، وفق وصف أمازون.
تفاصيل الاختراق والأنشطة اللاحقة
الهجمات تضمنت مسحاً منهجياً لواجهات إدارة FortiGate المكشوفة عبر منافذ 443 و8443 و10443 و4443، تلاه محاولات تسجيل دخول باستخدام بيانات اعتماد شائعة أو معاد استخدامها. بعد الحصول على الوصول، تمكن المهاجم من:
- استخراج قواعد بيانات الاعتمادات كاملة.
- اختراق بيئات Active Directory.
- استهداف البنية التحتية للنسخ الاحتياطي، خصوصاً خوادم Veeam Backup & Replication، باستخدام أدوات لسرقة الاعتمادات واستغلال ثغرات معروفة مثل CVE-2023-27532 وCVE-2024-40711.
- تنفيذ هجمات جانبية مثل DCSync، وpass-the-hash، وNTLM relay، إضافة إلى أوامر عن بُعد على أنظمة ويندوز.
أمازون أشارت إلى أن المهاجم كان يتخلى عن الأهداف المحمية جيداً ويتجه إلى ضحايا أقل صلابة، ما يعكس اعتماداً على الذكاء الاصطناعي لسد فجوات المهارة دون القدرة على مواجهة بيئات معقدة.
مؤشرات على تطوير الأدوات بالذكاء الاصطناعي
تحليل الشيفرة المصدرية للأدوات التي استخدمها المهاجم كشف علامات واضحة على مساهمة الذكاء الاصطناعي في تطويرها، مثل:
- تعليقات زائدة تعيد صياغة أسماء الدوال.
- بنية بسيطة مع تركيز مبالغ فيه على التنسيق بدلاً من الوظائف.
- معالجة بدائية لملفات JSON عبر مطابقة النصوص بدلاً من التفكيك الصحيح.
- وجود شيفرات توافقية مع توثيق فارغ.
الإجراءات الوقائية الموصى بها
مع تزايد استهداف أجهزة Fortinet، شددت أمازون على ضرورة اتباع إجراءات أساسية مثل:
- عدم كشف واجهات الإدارة على الإنترنت.
- تغيير كلمات المرور الافتراضية والشائعة.
- تفعيل المصادقة متعددة العوامل للوصول الإداري وVPN.
- مراجعة الحسابات الإدارية غير المصرح بها.
- عزل خوادم النسخ الاحتياطي عن الشبكة العامة.
- تحديث البرامج بشكل دوري ومراقبة أي تعرض غير مقصود للشبكة.
وأكدت أمازون أن الاتجاه نحو الهجمات المدعومة بالذكاء الاصطناعي سيستمر خلال عام 2026، سواء من قبل مهاجمين محترفين أو مبتدئين، وأن أساسيات الدفاع القوية مثل إدارة التصحيحات، نظافة بيانات الاعتمادات، تقسيم الشبكات، ورصد مؤشرات ما بعد الاستغلال تبقى خط الدفاع الأكثر فعالية.
