AI tiếp tay tội phạm mạng chiếm quyền hơn 600 thiết bị FortiGate tại 55 quốc gia

[WhiteHat Team]

Một chiến dịch tấn công mạng quy mô lớn đã khiến hơn 600 thiết bị tường lửa Fortinet FortiGate tại 55 quốc gia bị xâm nhập trong giai đoạn từ 11/1 đến 18/2/2026. Đáng chú ý, chiến dịch này không khai thác lỗ hổng zero-day hay kỹ thuật tinh vi mà lợi dụng các sai sót cấu hình cơ bản với sự hỗ trợ của trí tuệ nhân tạo (AI).
​

​

Theo báo cáo của Amazon, nhóm tấn công là đối tượng nói tiếng Nga, có động cơ tài chính và năng lực kỹ thuật ở mức trung bình. Thay vì tự phát triển kỹ thuật tinh vi, chúng sử dụng nhiều dịch vụ AI tạo sinh thương mại để hỗ trợ gần như toàn bộ chuỗi tấn công, từ lập kế hoạch, viết công cụ, tạo lệnh cho tới ghi chép và chuẩn hóa quy trình. AI đã biến những thao tác vốn tốn nhiều thời gian và nhân lực thành một quy trình bán tự động, cho phép mở rộng tấn công trên quy mô toàn cầu.

Về mặt kỹ thuật, kẻ tấn công không khai thác bất kỳ lỗ hổng phần mềm nào trên FortiGate. Thay vào đó, chúng tiến hành quét Internet để tìm các giao diện quản trị FortiGate bị phơi bày công khai, chủ yếu qua các cổng 443, 8443, 10443 và 4443, sau đó thử xác thực bằng những cặp thông tin đăng nhập thường bị tái sử dụng trong các hệ thống chỉ triển khai xác thực một lớp. Khi truy cập thành công, đối tượng trích xuất toàn bộ cấu hình thiết bị, từ đó thu được thông tin xác thực, dữ liệu cấu trúc mạng, cấu hình VPN cũng như các tham số vận hành quan trọng.

Từ điểm xâm nhập ban đầu này, kẻ tấn công tiếp tục mở rộng phạm vi kiểm soát bằng cách truy cập trái phép vào mạng nội bộ thông qua kết nối VPN. Amazon ghi nhận nhiều trường hợp môi trường Active Directory bị xâm nhập, trong đó đối tượng sử dụng các kỹ thuật như DCSync để đánh cắp dữ liệu xác thực từ Domain Controller, đồng thời di chuyển ngang trong hệ thống bằng những phương thức quen thuộc như pass-the-hash, pass-the-ticket, NTLM relay và thực thi lệnh từ xa trên các máy chủ Windows.

Bên cạnh đó, hạ tầng sao lưu cũng trở thành mục tiêu ưu tiên khi nhóm này nhắm tới các máy chủ Veeam Backup và Replication, triển khai công cụ thu thập thông tin đăng nhập và tìm cách khai thác các lỗ hổng đã được công bố, cho thấy dấu hiệu rõ ràng của một chuỗi tấn công chuẩn bị cho ransomware. Các công cụ trinh sát hậu xâm nhập được viết bằng Go và Python, mang nhiều đặc điểm của mã nguồn do AI hỗ trợ phát triển với kiến trúc đơn giản, chú thích dư thừa và cách xử lý dữ liệu ở mức đủ để phục vụ các kịch bản tấn công tự động.

Các hệ thống bị xâm nhập phân bố trên phạm vi toàn cầu, trải dài từ Nam Á, Đông Nam Á đến châu Âu, châu Phi và châu Mỹ Latinh cho thấy chiến dịch không nhắm vào bất kỳ ngành nghề cụ thể nào. Amazon đồng thời ghi nhận rằng trước những môi trường được cấu hình chặt chẽ, vá lỗi đầy đủ và không để lộ giao diện quản trị ra Internet, kẻ tấn công thường không đạt được kết quả và nhanh chóng chuyển sang các mục tiêu dễ khai thác hơn.

Vụ việc cho thấy AI không tạo ra kỹ thuật tấn công mới mà đóng vai trò khuếch đại những phương thức xâm nhập vốn đã quen thuộc. Các kỹ thuật tuy đơn giản nhưng được AI chuẩn hóa và tự động hóa, cho phép các đối tượng ít kinh nghiệm vẫn triển khai tấn công ở quy mô lớn, làm mờ ranh giới giữa tấn công có chủ đích và tấn công cơ hội.
​

Theo The Hacker News​