Ein mutmaßlich russischer Hacker hat innerhalb weniger Wochen Hunderte Firewalls angegriffen. Auffällig ist dabei vor allem der massive Einsatz von generativer künstlicher Intelligenz.
Laut einer aktuellen Analyse nutzte der Angreifer mehrere KI-Tools, um mit vergleichsweise geringem Know-how komplexe Angriffe zu automatisieren und Zugangsdaten auszuwerten.
Systematische Suche nach offenen FortiGate-Schnittstellen
CJ Moses, Sicherheitschef von Amazon Integrated Security, beschreibt in seinem Bericht, wie Forschende den Angreifer bei einer systematischen Suche nach exponierten FortiGate-Managementoberflächen beobachteten. Der Angriff konzentrierte sich auf die Ports 443, 8443, 10443 und 4443, über die die Admin-Oberflächen erreichbar waren.
Fand das Skript eine potenziell verwundbare Instanz, begann ein klassischer Brute-Force-Angriff. Der Hacker probierte automatisiert zahlreiche Kombinationen aus häufig genutzten und schwachen Zugangsdaten, bis ein Login erfolgreich war. Auf diese Weise verschaffte sich die Person Zugriff auf eine große Zahl von Firewalls.
Konfigurationsdateien mit KI-generiertem Code ausgewertet
Nach erfolgreichem Eindringen exportierte der Angreifer vollständige Konfigurationsdateien der Geräte. Diese enthielten unter anderem SSL-VPN-Nutzerzugänge mit wiederherstellbaren Passwörtern, Administrator:innen-Zugänge, Firewall-Regeln sowie Details zur internen Netzwerkstruktur.
Zur Auswertung dieser Daten setzte der Hacker auf KI-generierte Python-Skripte. Diese Skripte dienten dazu, die Konfigurationen zu parsen, zu entschlüsseln und strukturiert aufzubereiten. Anschließend nutzte der Angreifer die gewonnenen VPN-Zugangsdaten, um sich in interne Netze einzuwählen.
Dort kamen weitere, individuell erstellte KI-Tools zum Einsatz, unter anderem in Go und Python geschriebene Programme zur Aufklärung der Umgebung. So bewegte sich der Angreifer weiter in Richtung Active Directory und vertiefte den Zugriff in den kompromittierten Netzwerken.
Die Analyse des Quellcodes dieser Werkzeuge zeigte laut Moses typische Merkmale KI-gestützter Entwicklung: überflüssige Kommentare, die nur Funktionsnamen wiederholen, eine sehr einfache Architektur mit starkem Fokus auf Formatierung statt Funktionalität sowie naive JSON-Verarbeitung über String-Vergleiche statt ordentlicher Deserialisierung. Zudem fanden die Forschenden Kompatibilitätshilfen für Sprachelemente mit leeren Dokumentationsplätzen. Die Werkzeuge funktionierten zwar für den konkreten Zweck, waren aber wenig robust und versagten in vielen Randfällen.
Ziel auf Veeam-Server – und häufige Fehlversuche
Besonderes Interesse zeigte der Angreifer an Veeam-Backup-&-Replikationsservern. Auf diesen Systemen versuchte er, Tools zur Extraktion von Zugangsdaten zu installieren und bekannte Schwachstellen in Veeam-Installationen auszunutzen.
Der gesamte Angriff lief innerhalb weniger Wochen, zwischen dem 11. Januar und dem 18. Februar 2026. In diesem Zeitraum experimentierte der Hacker mit verschiedenen bekannten Sicherheitslücken (CVEs), scheiterte jedoch häufig an bereits gepatchten oder gehärteten Systemen. In gut geschützten Umgebungen brach die Person die Versuche oft ab und wandte sich stattdessen leichter angreifbaren Zielen zu.
Die Forschenden schließen daraus, dass es sich eher um eine wenig erfahrene Person handelt, die sich stark auf generative KI stützt, um technische Defizite auszugleichen. Der Fall zeigt zugleich, wie KI-Werkzeuge Angreifer:innen unterstützen können, auch wenn diese nicht zu den hochqualifizierten Profis zählen.
Via: https://www.techradar.com
Titelbild: Unsplash
