Amazon Threat Intelligence hat eine bemerkenswerte Angriffskampagne dokumentiert, die zwischen Januar und Februar 2026 über 600 FortiGate-Geräte in mehr als 55 Ländern kompromittierte. Bemerkenswert daran ist weniger die technische Raffinesse als vielmehr die Methode: Ein einzelner russischsprachiger Angreifer mit eher begrenzten Fähigkeiten nutzte kommerzielle KI-Dienste, um Angriffe in einem Ausmaß durchzuführen, das früher ein ganzes Team erfordert hätte. KI dient dabei als Kraft-Multiplikator – für Angriffsplanung, Toolentwicklung und operative Koordination.
Entscheidend: Ausgenutzt wurden keine Zero-Days oder komplexe Lücken, sondern schlichte Grundversäumnisse. Management-Ports von FortiGate-Geräten waren direkt aus dem Internet erreichbar, Zugangsdaten schwach oder mehrfach verwendet, und Mehrfaktor-Authentifizierung fehlte. Die KI half dem Angreifer dabei, diese Schwachstellen automatisiert und in großem Maßstab aufzuspüren und auszunutzen. Wer hingegen gehärtete Systeme hatte, wurde schlicht übersprungen – der Angreifer hatte weder die Fähigkeit noch den Willen, sich durch wirklich gesicherte Umgebungen zu kämpfen.
Wer FortiGate-Geräte betreibt, sollte jetzt prüfen: Sind Management-Interfaces aus dem Internet erreichbar? Sind VPN- und Admin-Zugänge mit MFA abgesichert? Wurden Standardpasswörter geändert? Im Zweifelsfall sollten VPN-Zugangsdaten rotiert und Logs auf ungewöhnliche Verbindungsstandorte überprüft werden. Besondere Aufmerksamkeit verdienen Veeam-Backup-Server – diese wurden gezielt angegriffen, da sie oft privilegierte Zugangsdaten enthalten und ihr Ausfall eine Ransomware-Attacke vorbereitet.
Auf Netzwerkebene lohnt die Suche nach unerwarteten DCSync-Operationen (Windows Event ID 4662) sowie ungewöhnlichen Remote-Verbindungen aus VPN-Adressbereichen.
Der Fall zeigt: KI senkt die Einstiegshürde für Cyberkriminelle spürbar. Gute Basisabsicherung ist und bleibt die wirksamste Antwort darauf.
Originalquelle: https://aws.amazon.com/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/
