AI-gestuurde hacker kraakt wereldwijd honderden FortiGate-apparaten
Een Russischtalige hacker heeft met behulp van commerciële AI-diensten op grote schaal ingebroken op meer dan 600 FortiGate-apparaten in zeker 55 landen. Volgens onderzoek van Amazon Threat Intelligence slaagde de aanvaller erin om, ondanks een beperkt technisch niveau, een operatie op te zetten die voorheen voorbehouden was aan geavanceerde staatshackers.
De campagne, die plaatsvond tussen 11 januari en 18 februari 2026, richtte zich niet op complexe kwetsbaarheden in de software. In plaats daarvan maakte de hacker gebruik van AI om systematisch te scannen op slecht beveiligde beheerinterfaces en zwakke inloggegevens zonder multifactorauthenticatie (MFA).
AI als digitale lopende band
Amazon omschrijft de werkwijze van de hacker als een "AI-gestuurde assemblage-lijn voor cybercriminaliteit". De aanvaller gebruikte verschillende Large Language Models (LLM's) voor:
Aanvalsstrategie: AI genereerde stapsgewijze handleidingen voor exploitatie, inclusief verwachte succespercentages.
Maatwerk-tooling: Er werden Python- en Go-scripts ontwikkeld voor verkenning en het ontsleutelen van gestolen configuratiebestanden.
Live ondersteuning: Tijdens een actieve inbraak vroeg de hacker de AI om advies over hoe hij dieper in een specifiek netwerk kon binnendringen op basis van de aangetroffen topologie.
Opvallend is dat de hacker direct afdroop zodra hij op goed beveiligde netwerken stuitte. Dit bevestigt dat de kracht van de aanval lag in de door AI gegenereerde efficiëntie en schaal, en niet in de diepe technische kennis van de dader zelf.
Impact en geografische spreiding
De aanval was opportunistisch van aard en trof organisaties in onder meer Zuid-Azië, Latijns-Amerika, West-Afrika en Noord-Europa. Zodra de hacker toegang had tot een FortiGate-apparaat, werden configuraties buitgemaakt met daarin SSL-VPN-inloggegevens en netwerkkaarten.
In diverse gevallen leidde dit tot volledige overname van Active Directory-omgevingen en het stelen van wachtwoorddatabases. De hacker had het bovendien specifiek voorzien op Veeam-back-upservers, een bekende voorbode van ransomware-aanvallen waarbij de herstelmogelijkheden eerst worden gesaboteerd.
Defensieve fundamenten blijven cruciaal
Hoewel AI de drempel voor cyberaanvallen verlaagt, benadrukt Amazon dat de verdediging nog steeds rust op basisprincipes. De succesvolle inbraken waren bijna allemaal te voorkomen geweest met basale hygiëne.
Aanbevelingen voor organisaties:
- Beheerinterfaces: Stel FortiGate-beheerpoorten (zoals 443, 8443) nooit direct bloot aan het publieke internet.
- MFA: Dwing multifactorauthenticatie af voor alle VPN- en admin-toegang.
- Wachtwoorden: Controleer op hergebruik van wachtwoorden tussen netwerkapparatuur en het interne domein.
- Back-up isolatie: Isoleer back-upservers van het algemene netwerk en gebruik onveranderbare (immutable) kopieën.
