كشفت بيانات حديثة عن استغلال جهة فاعلة روسية اللغة، مدفوعة مالياً، لخدمات الذكاء الاصطناعي التوليدي التجارية لاختراق أكثر من 600 جهاز FortiGate في 55 دولة. تم رصد هذه الأنشطة في الفترة ما بين 11 يناير و18 فبراير 2026، مما يسلط الضوء على التحديات الأمنية المتزايدة في العصر الرقمي.
ووفقاً لتقرير صادر عن Amazon Threat Intelligence، لم يتم رصد استغلال ثغرات أمنية محددة في أجهزة FortiGate، بل نجحت الحملة في اختراق الأجهزة عبر استغلال منافذ الإدارة المكشوفة وكلمات المرور الضعيفة مع المصادقة أحادية العامل. وقد ساعد الذكاء الاصطناعي هذا الجهة الفاعلة، التي وصفت بأنها تفتقر للقدرات التقنية المتقدمة، على تنفيذ هجماتها على نطاق واسع.
الذكاء الاصطناعي يعزز قدرات الجهات الفاعلة في التهديدات السيبرانية
وصفت شركة أمازون الجهة الفاعلة بأنها ذات قدرات تقنية محدودة، إلا أنها تجاوزت هذا القيد بالاعتماد على أدوات متعددة للذكاء الاصطناعي التوليدي التجاري لتنفيذ مراحل مختلفة من دورة الهجوم. وشمل ذلك تطوير الأدوات، وتخطيط الهجمات، وتوليد الأوامر اللازمة. وأكد التقرير أن جهة واحدة مدعومة بالذكاء الاصطناعي شكلت العمود الفقري للعملية، مع الاعتماد على أداة أخرى كبديل للمساعدة في التسلل داخل الشبكة المخترقة.
ويُعتقد أن الجهة الفاعلة مدفوعة بتحقيق مكاسب مالية، ولا ترتبط بأي تهديدات مستمرة متقدمة (APT) تحظى بدعم حكومي. ووفقاً لأبحاث سابقة، تتزايد وتيرة تبني أدوات الذكاء الاصطناعي التوليدي من قبل الجهات الفاعلة في التهديدات لتوسيع نطاق عملياتها وتسريعها، حتى لو لم تزودهم باستراتيجيات هجومية مبتكرة.
من جهة أخرى، يعكس ظهور أدوات الذكاء الاصطناعي كيف أصبحت القدرات التي كانت في السابق بعيدة المنال عن الجهات الفاعلة المبتدئة أو ذات الخبرة التقنية المحدودة، ممكنة بشكل متزايد. وهذا يقلل من حاجز الدخول لجرائم الفضاء الإلكتروني ويسمح لهذه الجهات بتطوير أساليب هجومية جديدة.
الأبعاد المالية والتقنية للهجوم
وجاء في التقرير أن هذه الجهة الفاعلة، التي يُعتقد أنها فرد أو مجموعة صغيرة مدفوعة مالياً، نجحت في تحقيق نطاق تشغيلي لم يكن ممكناً في السابق إلا لفريق أكبر وأكثر مهارة، وذلك بفضل تعزيز قدراتها بالذكاء الاصطناعي.
كشفت تحقيقات أمازون عن نجاح الجهة الفاعلة في اختراق بيئات Active Directory لمؤسسات متعددة، واستخراج قواعد بيانات كاملة لبيانات الاعتماد، بل واستهداف البنية التحتية للنسخ الاحتياطي، مما يشير إلى محاولة لشن هجمات برامج الفدية. وبدلاً من محاولة التواجد لفترة طويلة في بيئات مؤمنة بشكل كبير، اختارت الجهة الفاعلة التخلي عن الهدف والانتقال إلى ضحية أسهل، مما يعكس استخدام الذكاء الاصطناعي لسد الفجوات المهارية.
حددت أمازون بنية تحتية متاحة للعامة أديرت من قبل المهاجمين، والتي احتوت على مواد مختلفة مرتبطة بالحملة. وشمل ذلك خطط هجوم تم إنشاؤها بواسطة الذكاء الاصطناعي، وتكوينات الضحايا، وشفرات مصدر لأدوات مخصصة. ووصف التقرير هذا الأسلوب بأنه “خط إنتاج مدعوم بالذكاء الاصطناعي لجرائم الفضاء الإلكتروني”.
وقد مكن هذا النهج الجهة الفاعلة من اختراق أجهزة FortiGate، مما سمح لها باستخراج تكوينات الأجهزة الكاملة، وبالتالي الحصول على بيانات الاعتماد، ومعلومات طبولوجيا الشبكة، وتكوينات الأجهزة.
تم هذا عن طريق المسح المنهجي لواجهات إدارة FortiGate المكشوفة على الإنترنت عبر المنافذ 443، 8443، 10443، و 4443، متبوعاً بمحاولات المصادقة باستخدام بيانات اعتماد شائعة. وقد اتسم النشاط بأنه عالمي، مما يشير إلى مسح آلي واسع النطاق للأجهزة الضعيفة. بدأت عمليات المسح من عنوان IP 212.11.64[.]250.
بعد ذلك، استُخدمت البيانات المسروقة للتغلغل أعمق في الشبكات المستهدفة وتنفيذ أنشطة ما بعد الاختراق، بما في ذلك الاستطلاع، واختراق Active Directory، وسرقة بيانات الاعتماد، ومحاولات الوصول إلى البنية التحتية للنسخ الاحتياطي، وهي خطوات تتماشى مع عمليات برامج الفدية التقليدية.
وتشير البيانات إلى أن نشاط المسح أدى إلى اختراق على مستوى المؤسسات، مما تسبب في الوصول إلى أجهزة FortiGate متعددة تابعة لنفس الكيان. وقد تم اكتشاف المجموعات المخترقة في جنوب آسيا، وأمريكا اللاتينية، ومنطقة البحر الكاريبي، وغرب إفريقيا، وشمال أوروبا، وجنوب شرق آسيا.
وبعد الوصول إلى شبكات الضحايا عبر VPN، تقوم الجهة الفاعلة بنشر أداة استطلاع مخصصة، مع وجود إصدارات مكتوبة بلغة Go و Python. ويكشف تحليل الشفرة المصدر عن مؤشرات واضحة على التطوير بمساعدة الذكاء الاصطناعي، مثل التعليقات المتكررة التي تكرر أسماء الوظائف، والبنية البسيطة، وتحليل JSON غير دقيق. من بين الخطوات الأخرى التي اتخذتها الجهة الفاعلة بعد مرحلة الاستطلاع:
- تحقيق اختراق النطاق عبر هجمات DCSync.
- التنقل الجانبي عبر الشبكة باستخدام هجمات pass-the-hash/pass-the-ticket، وهجمات NTLM relay، وتنفيذ الأوامر عن بعد على مضيفات Windows.
- استهداف خوادم Veeam Backup & Replication لنشر أدوات سرقة بيانات الاعتماد وبرامج تستغل ثغرات Veeam المعروفة (مثل CVE-2023-27532 و CVE-2024-40711).
تجدر الإشارة إلى أن الجهة الفاعلة واجهت انتكاسات متكررة عند محاولة استغلال أي شيء يتجاوز “مسارات الهجوم الأكثر مباشرة والمؤتمتة”. وقد سجلت وثائقهم الخاصة فشلهم نظراً لأن الأهداف إما قامت بتصحيح الخدمات، أو أغلقت المنافذ المطلوبة، أو لم تكن تحتوي على نواقل استغلال ضعيفة.
مع تزايد جاذبية أجهزة Fortinet كهدف للجهات الفاعلة في التهديدات، من الضروري أن تتأكد المؤسسات من عدم كشف واجهات الإدارة للإنترنت، وتغيير كلمات المرور الافتراضية والشائعة، وتدوير بيانات اعتماد مستخدمي SSL-VPN، وتطبيق المصادقة متعددة العوامل للوصول الإداري و VPN، ومراجعة الحسابات أو الاتصالات الإدارية غير المصرح بها.
كما أنه من الضروري عزل خوادم النسخ الاحتياطي عن الوصول العام للشبكة، والتأكد من تحديث جميع البرامج، ومراقبة أي انكشاف غير مقصود للشبكة.
ويتوقع الخبراء استمرار هذا الاتجاه في عام 2026، حيث يجب على المؤسسات توقع زيادة حجم الأنشطة العدائية المعززة بالذكاء الاصطناعي من قبل المهاجمين المهرة وغير المهرة على حد سواء. وتظل الأساسيات الدفاعية القوية هي الإجراء المضاد الأكثر فعالية، مثل إدارة التصحيحات للأجهزة الطرفية، وحفظ بيانات الاعتماد، وتقسيم الشبكة، والكشف الفعال عن مؤشرات ما بعد الاختراق.