文章总结： 亚马逊安全报告披露，2026年初一名俄语黑客借助生成式AI服务，在五周内攻破了55个国家超过600台FortiGate防火墙。攻击未使用零日漏洞，而是利用暴露的管理界面和弱密码，通过AI工具自动进行暴力破解、配置提取、网络侦察和横向移动。报告指出AI显著降低了攻击门槛，充当了能力倍增器，使中低技能攻击者能发动大规模入侵。建议管理员避免将管理界面暴露于公网、启用多因素认证、加固VPN和备份基础设施。 综合评分： 78 文章分类： 网络安全,威胁情报,AI安全,漏洞预警,解决方案

亚马逊：黑客借AI之手，五周攻破600台Fortinet防火墙

幻泉之洲

2026年2月23日 09:16 北京

亚马逊一份安全报告披露了一起大规模网络入侵事件：在2026年初短短五周内，一名俄语黑客借助生成式AI服务，成功攻破了遍布55个国家的600多台FortiGate防火墙。攻击者没有使用任何零日漏洞，而是盯上了暴露在互联网上的管理界面和弱密码，然后用AI工具自动进行后续入侵。这起事件清楚表明，商业AI服务正在大大降低了黑客的入门门槛。

亚马逊发出警告，一名说俄语的黑客在攻击行动中使用了多种生成式AI服务，最终在五周内攻破了55个国家的600多台FortiGate防火墙。

亚马逊综合安全部门首席信息安全官CJ·摩西的一份新报告称，这次黑客攻击发生在2026年1月11日至2月18日之间，而且没有利用任何漏洞来破坏Fortinet防火墙。

相反，攻击者瞄准了那些暴露在外的管理界面和保护薄弱的登录凭证（通常没有启用多因素认证MFA），然后利用AI帮助其自动访问被攻破网络上的其他设备。

摩西说，被攻破的防火墙遍布南亚、拉丁美洲、加勒比海地区、西非、北欧和东南亚等多个区域。

一次由AI驱动的入侵

亚马逊表示，是在发现一个托管着用于攻击Fortinet FortiGate防火墙的恶意工具的服务器后，才了解到这次攻击行动的。

在攻击过程中，攻击者通过扫描运行在443、8443、10443和4443端口的服务，来寻找那些暴露在互联网上的FortiGate管理界面。据说这种行为是随机扫描，而不是针对特定行业。

与我们通常看到的攻击FortiGate设备的情况不同，攻击者没有利用零日漏洞，而是使用常见密码进行暴力破解，从而获得设备访问权限。

一旦攻破防火墙，攻击者就会提取设备的配置设置，包括：

• 含有可恢复密码的SSL-VPN用户凭证
• 管理凭证
• 防火墙策略和内部网络架构
• IPsec VPN配置
• 网络拓扑和路由信息

接下来，这些配置文件会使用看起来是由AI辅助编写的Python和Go工具进行分析和解密。

“在通过VPN接入受害者网络后，攻击者会部署一个定制的侦察工具，有Go和Python两种语言的不同版本，”亚马逊解释说。

“对源代码的分析揭示了明显的AI辅助开发痕迹：大量仅仅重复函数名的冗余注释；架构简单，对格式化的投入远远超过功能性；通过字符串匹配进行简单的JSON解析，而不是合适的反序列化；以及对语言内置函数的兼容性垫片，附带的是空白的文档存根。”

“虽然这些工具对于攻击者的特定用例是有效的，但它们缺乏鲁棒性，在遇到边缘情况时就会出错——这是未经重大改进就直接使用的AI生成代码的典型特征。”

这些工具被用来对被攻破的网络进行自动化侦察，包括分析路由表、按大小对网络进行分类、使用开源gogo扫描器进行端口扫描、识别SMB主机和域控制器，以及使用Nuclei寻找HTTP服务。

研究人员表示，虽然这些工具能工作，但在加固程度更高的环境中常常会失败。

用俄语编写的操作文档详细说明了如何使用Meterpreter和mimikatz对Windows域控制器执行DCSync攻击，以及如何从Active Directory数据库中提取NTLM密码哈希。

这次攻击还特别针对Veeam Backup & Replication服务器，使用了自定义的PowerShell脚本、编译好的凭证提取工具，并尝试利用Veeam的漏洞。

在亚马逊发现的其中一台服务器上，攻击者托管了一个名为“DecryptVeeamPasswords.ps1”的PowerShell脚本，用于攻击备份应用程序。

正如亚马逊所解释的，攻击者在部署勒索软件之前，通常会先攻击备份基础设施，以防止受害者从备份中恢复加密的文件。

攻击者的“操作笔记”中也多次提到试图利用各种漏洞，包括CVE-2019-7192（QNAP远程代码执行）、CVE-2023-27532（Veeam信息泄露）和CVE-2024-40711（Veeam远程代码执行）。

报告指出，攻击者在试图入侵已打补丁或加固的系统时多次失败，但他们没有继续尝试，而是转向了更容易的目标。

虽然亚马逊认为攻击者的技能水平属于中低级，但通过使用AI，其能力被极大地放大了。

研究人员表示，攻击者在整个攻击过程中至少使用了两个大型语言模型提供商的服务，用于：

• 生成分步攻击方法论
• 用多种编程语言开发自定义脚本
• 创建侦察框架
• 规划横向移动策略
• 起草操作文档

据说有一次，攻击者向一个AI服务提交了一份完整的受害者内部网络拓扑（包括IP地址、主机名、凭证和已知服务），然后请求帮助进一步渗透到网络中。

亚马逊称，这次行动展示了商业AI服务如何降低攻击者的入门门槛，使他们能够发动通常超出其技能范围的攻击。

公司建议FortiGate管理员不要将管理界面暴露在互联网上，确保启用MFA，确保VPN密码与Active Directory账户的密码不同，并对备份基础设施进行加固。

谷歌最近也报告称，攻击者正在网络攻击的所有阶段滥用Gemini AI，这与亚马逊在这次活动中观察到的情况类似。

自定义AI工具集为入侵提供动力

昨天发表在Cyber and Ramen（https://cyberandramen.net/2026/02/21/llms-in-the-kill-chain-inside-a-custom-mcp-targeting-fortigate-devices-across-continents/）安全博客上的另一项研究，提供了关于AI和大型语言模型如何直接融入这次入侵活动的更多技术细节。

研究人员分享说，那个配置错误的服务器上也暴露了1402个文件，包括被盗的FortiGate配置备份、Active Directory映射数据、凭证转储、漏洞评估和攻击规划文档。

“这台托管在AS4264上的服务器，包含了139个子目录下的1402个文件，”该威胁研究员解释说。

“目录中的文件夹包括CVE漏洞利用代码、FortiGate配置文件、Nuclei扫描模板和Veeam凭证提取工具。两个名为claude-0和claude的文件夹包含了超过200个文件，包括Claude Code任务输出、会话差异和缓存的提示状态。”

“一个标题为fortigate_27.123的文件夹里，保存着似乎是来自一台被攻破的FortiGate设备的配置数据和凭证。”

在暴露的文件中，有一个名为ARXON的自定义模型上下文协议（MCP）服务器，它充当侦察数据和商业大型语言模型之间的桥梁。研究人员说，他们找不到任何关于ARXON的公开资料，这表明它很可能是攻击者自己创建的定制MCP框架。

MCP服务器充当一个中间层，它摄取数据，将其输入语言模型，然后将生成的输出与其他工具一起使用。在这次攻击中，摄取的数据被用于自动进行入侵后分析和攻击规划。

另一个叫做CHECKER2的Go工具是一个基于Docker的编排器，用于并行扫描数千个VPN目标。日志显示，它扫描了覆盖100多个国家的2500多个潜在目标。

据研究人员称，从被攻破的FortiGate设备和内部网络收集的侦察数据被输入ARXON，然后ARXON查询DeepSeek和Claude等大型语言模型，生成结构化的攻击计划。

这些攻击计划包括获取域管理员权限的指令、建议搜索凭证的位置、推荐漏洞利用步骤，以及如何横向移动到其他设备的指导。

在某些情况下，Claude Code被配置为可以自行执行攻击性工具，包括Impacket脚本、Metasploit模块和hashcat，无需攻击者批准每条命令。

研究人员指出，整个行动持续了数周，攻击者最初使用一个开源HexStrike MCP框架，大约八周后，转移到了自动化的、定制的ARXON系统。

这份报告认同亚马逊的评估，即生成式AI正在被用作一种“能力倍增器”，使攻击者能够更高效地扩大入侵规模。研究人员同样警告，防御者应该优先修补边缘设备，并审核异常的SSH活动和VPN账户创建。

CronUp的安全研究员Germán Fernández也发现了另一台暴露目录的服务器，其中似乎包含针对FortiWeb的AI生成的工具。

虽然这些工具似乎不属于FortiGate攻击行动的一部分，但它们再次表明攻击者如何持续利用AI工具来发动攻击。

说实话，看着这些半生不熟的AI生成代码在真实世界里搞出这么大动静，挺让人警醒的。AI让“低水平”攻击者变成了“高产出”麻烦。防守方的难度，可能又要提升了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《亚马逊：黑客借AI之手，五周攻破600台Fortinet防火墙》