L’IA sul lato oscuro: come un hacker poco esperto ha usato i chatbot per violare centinaia di firewall Fortinet

Quando un hacker russofono ha deciso di compromettere reti aziendali in tutto il mondo, non si è affidato a capacità di programmazione d’élite né a segreti exploit zero-day. Al contrario, ha avuto un complice improbabile: strumenti commerciali di IA generativa. In sole cinque settimane, questa collaborazione ha permesso la violazione di oltre 600 firewall FortiGate in 55 Paesi - dimostrando che l’intelligenza artificiale non è più soltanto uno strumento per i difensori, ma un moltiplicatore di forza per attaccanti di ogni tipo.

L’anatomia di una violazione guidata dall’IA

Il team di sicurezza di Amazon si è imbattuto nell’operazione dopo aver scoperto un server pieno di strumenti malevoli puntati direttamente sui firewall FortiGate di Fortinet, ampiamente diffusi. Invece di prendere di mira settori specifici, l’hacker ha lanciato una rete a strascico, scandagliando internet alla ricerca di dispositivi con interfacce di gestione esposte - in particolare quelle in esecuzione sulle porte 443, 8443, 10443 e 4443.

A differenza di precedenti attacchi di alto profilo che sfruttavano exploit sofisticati, questa campagna ha privilegiato attacchi brute-force usando password comuni, concentrandosi sui dispositivi privi di autenticazione a più fattori (MFA). Una volta dentro, l’intruso ha estratto di tutto: dalle credenziali SSL-VPN e le policy del firewall fino all’architettura della rete interna e alle configurazioni VPN.

Ma il vero colpo di scena? L’attaccante ha analizzato e decifrato questi file di configurazione con l’aiuto di script Python e Go assistiti dall’IA. L’analisi del codice da parte di Amazon ha rivelato segnali rivelatori di software generato dall’IA: commenti ridondanti, logica semplicistica e stranezze di formattazione. Pur fallendo spesso in ambienti più sicuri, questi strumenti hanno funzionato abbastanza bene da automatizzare la ricognizione, mappare le reti e identificare sistemi vulnerabili.

Note operative scritte in russo descrivevano l’uso di noti strumenti offensivi come Meterpreter e mimikatz per estrarre credenziali di dominio Windows. La campagna ha preso di mira anche i server di backup Veeam - una tattica pre-ransomware molto comune - distribuendo script PowerShell personalizzati e sfruttando vulnerabilità note.

Forse l’aspetto più allarmante è che l’hacker ha caricato ripetutamente su servizi di IA mappe dettagliate delle reti delle vittime (incluse credenziali sensibili), chiedendo strategie su misura per un’infiltrazione più profonda. Il risultato: un attore con competenze basse o medie amplificato ben oltre le proprie capacità, grazie a guide d’attacco passo-passo e codice personalizzato generato su richiesta dai grandi modelli linguistici.

Mentre i sistemi aggiornati e irrobustiti hanno retto all’assalto, l’attaccante si è semplicemente spostato su prede più facili quando incontrava resistenza. Le conclusioni di Amazon riecheggiano i recenti avvertimenti di Google sull’abuso, da parte dei cybercriminali, di piattaforme di IA come Gemini in ogni fase del ciclo di vita dell’attacco.

Guardando avanti: la lama a doppio taglio dell’IA

Questa campagna è un campanello d’allarme: l’IA generativa non sta solo democratizzando la produttività - sta anche abbassando la barriera d’ingresso per il cybercrimine. I team di sicurezza devono adattarsi rapidamente, irrobustendo i dispositivi, imponendo l’MFA e ripensando a come proteggere i sistemi di backup. Man mano che l’intelligenza artificiale avanza in ogni angolo della tecnologia, la linea tra attore amatoriale e minaccia avanzata si sta sfumando a grande velocità.

WIKICROOK

• IA generativa: L’IA generativa è un’intelligenza artificiale che crea nuovi contenuti - come testo, immagini o audio - spesso imitando la creatività e lo stile umani.
• Multi: Multi si riferisce all’uso di una combinazione di tecnologie o sistemi diversi - come satelliti LEO e GEO - per migliorare affidabilità, copertura e sicurezza.
• Brute: Un attacco brute-force è un metodo di hacking automatizzato in cui gli attaccanti provano molte password o chiavi finché non trovano quella corretta per ottenere accesso non autorizzato.
• Ricognizione: La ricognizione è la fase iniziale di un cyberattacco in cui gli attaccanti raccolgono informazioni su un bersaglio per identificare debolezze e pianificare l’approccio.
• Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste ancora una correzione, rendendola altamente preziosa e pericolosa per gli attaccanti.