Según nuevos hallazgos de Amazon Threat Intelligence, un actor de amenazas
rusoparlante con motivaciones financieras se ha estado aprovechando de
servicios comerciales de inteligencia artificial (IA) generativa para
comprometer más de 600 dispositivos FortiGate ubicados en 55 países.
«No se observó explotación de las vulnerabilidades de FortiGate; en cambio,
esta campaña tuvo éxito al explotar puertos de administración expuestos y
credenciales débiles con autenticación de un solo factor, brechas de
seguridad fundamentales que la IA ayudó a un actor poco sofisticado a
explotar a gran escala», declaró CJ Moses, director de seguridad de la información (CISO) de Amazon
Integrated Security, en un
informe.
El gigante tecnológico describió al actor de amenazas como poseedor de
capacidades técnicas limitadas, una limitación que superaron al recurrir a
múltiples herramientas comerciales de IA generativa para implementar diversas
fases del ciclo de ataque, como el desarrollo de herramientas, la
planificación del ataque y la generación de comandos.
Si bien una herramienta de IA sirvió como eje principal de la operación, los
atacantes también recurrieron a una segunda herramienta de IA como respaldo
para facilitar su adaptación dentro de una red comprometida específica. No se
revelaron los nombres de las herramientas de IA.
Se considera que el actor de amenazas busca obtener beneficios económicos y no
está asociado con ninguna amenaza persistente avanzada (APT) con recursos
estatales. Como
destacó recientemente Google, los actores de amenazas están adoptando cada vez más herramientas de IA
generativa para escalar y acelerar sus operaciones, incluso si no les
proporcionan usos novedosos de la tecnología.
En todo caso,
la aparición de herramientas de IA ilustra cómo capacidades que antes
estaban fuera del alcance de actores de amenazas novatos o con dificultades
técnicas se están volviendo cada vez más viables,
lo que reduce aún más la barrera de entrada para la ciberdelincuencia y les
permite desarrollar metodologías de ataque.
«Probablemente se trate de una persona o un pequeño grupo con motivaciones
económicas que, mediante la mejora de la IA, alcanzaron una escala operativa
que antes habría requerido un equipo significativamente mayor y más
capacitado», afirmó Moses.
La investigación de Amazon sobre la actividad del actor de amenazas ha
revelado que ha comprometido con éxito los entornos de Active Directory de
varias organizaciones, ha extraído bases de datos de credenciales completas
e incluso ha atacado la infraestructura de copias de seguridad,
probablemente como paso previo a la implementación del ransomware.
Lo interesante es que, en lugar de idear maneras de persistir en entornos
reforzados o que empleaban controles de seguridad sofisticados, el actor de
amenazas optó por abandonar el objetivo por completo y centrarse en una
víctima relativamente más vulnerable. Esto indica el uso de IA como una forma
de cubrir sus necesidades de habilidades y obtener presas fáciles.
Amazon afirmó haber identificado infraestructura de acceso público
administrada por los atacantes que albergaba diversos artefactos relacionados
con la campaña. Esto incluía planes de ataque generados por IA,
configuraciones de víctimas y código fuente para herramientas personalizadas.
Todo este modus operandi es similar a una «cadena de montaje impulsada por IA
para el cibercrimen», añadió la compañía.
En esencia,
los ataques permitieron al atacante vulnerar los dispositivos FortiGate,
extrayendo configuraciones completas de los dispositivos,
lo que a su vez permitió obtener credenciales, información de topología de red
y configuración de los dispositivos.
Esto implicó el escaneo sistemático de las interfaces de administración de
FortiGate expuestas a internet a través de los puertos 443, 8443, 10443 y
4443, seguido de intentos de autenticación utilizando credenciales comúnmente
reutilizadas. La actividad fue independiente del sector, lo que indica un
escaneo masivo automatizado en busca de dispositivos vulnerables. Los escaneos
se originaron desde la dirección IP
212[.]11.64.250
y 185[.]196.11.225
Acceso inicial: Abuso masivo de credenciales
El vector de acceso inicial del atacante fue el acceso basado en credenciales
a las interfaces de administración de FortiGate expuestas a internet. El
análisis de las herramientas del atacante permitió un escaneo sistemático de
las interfaces de administración en los puertos 443, 8443, 10443 y 4443,
seguido de intentos de autenticación utilizando credenciales comúnmente
reutilizadas.
Los archivos de configuración de FortiGate representan objetivos de alto valor
porque contienen:
- Credenciales de usuario SSL-VPN con contraseñas recuperables
- Credenciales administrativas
- Topología de red completa e información de enrutamiento
- Políticas de firewall que revelan la arquitectura interna
- Configuraciones de pares VPN IPsec
El atacante desarrolló scripts de Python asistidos por IA para
analizar, descifrar y organizar estas configuraciones robadas.
Los datos robados se utilizaron posteriormente para profundizar en las redes
objetivo y realizar actividades posteriores a la explotación, incluyendo el
reconocimiento para el escaneo de vulnerabilidades mediante Nuclei, la
vulneración de Active Directory, la recolección de credenciales y los intentos
de acceder a la infraestructura de respaldo, que se alinean con las
operaciones típicas de ransomware.
Los datos recopilados por Amazon muestran que la actividad de escaneo resultó
en una vulnerabilidad a nivel organizacional, lo que provocó el acceso a
múltiples dispositivos FortiGate pertenecientes a la misma entidad.
Los clústeres comprometidos se han detectado en el sur de Asia,
Latinoamérica, el Caribe, África Occidental, el norte de Europa y el sudeste
asiático.
«Tras el acceso VPN a las redes de las víctimas, el actor de amenazas
implementa una herramienta de reconocimiento personalizada, con diferentes
versiones escritas tanto en Go como en Python», declaró la compañía. «El análisis del código fuente revela claros indicadores de desarrollo
asistido por IA: comentarios redundantes que simplemente reformulan los
nombres de las funciones, una arquitectura simplista con una inversión
desproporcionada en formato en lugar de funcionalidad, análisis ingenuo de
JSON mediante coincidencia de cadenas en lugar de una deserialización
adecuada, y correcciones de compatibilidad para las funciones integradas del
lenguaje con fragmentos de documentación vacíos».
A continuación, se enumeran algunos de los demás pasos que el actor de
amenazas realizó tras la fase de reconocimiento:
-
Comprometer el dominio mediante
ataques DCSync. -
Moverse lateralmente por la red mediante ataques
pass-the-hash/pass-the-ticket, ataques de retransmisión NTLM y
ejecución remota de comandos en hosts Windows. -
Atacar los servidores de Veeam Backup & Replication para implementar
herramientas y programas de recolección de credenciales destinados a
explotar vulnerabilidades conocidas de Veeam (p. ej.,
CVE-2023-27532
y
CVE-2024-40711).
Otro hallazgo destacable es el patrón del actor de amenazas de experimentar
repetidamente fallos al intentar explotar cualquier método que vaya más allá
de las «rutas de ataque más directas y automatizadas», y su propia
documentación registra que los objetivos habían parcheado los servicios,
cerrado los puertos necesarios o no tenían vectores de explotación
vulnerables.
Dado que los dispositivos
Fortinet se están convirtiendo en un objetivo atractivo
para los ciberdelincuentes,
es fundamental que las organizaciones se aseguren de que las interfaces de
administración no estén expuestas a internet, cambien las credenciales
predeterminadas y comunes, roten las credenciales de usuario SSL-VPN,
implementen la autenticación multifactor para el acceso administrativo y VPN,
y auditen las cuentas o conexiones administrativas no autorizadas.
También es fundamental aislar los servidores de respaldo del acceso general a
la red, garantizar que todos los programas de software estén actualizados y
supervisar la exposición no intencionada de la red.
Fuente:
THN