«Русский хакер» взломал 600 межсетевых экранов Fortinet в 55 странах за пять недель

За период с 11 января по 18 февраля 2026 года неизвестный русскоязычный хакер сумел получить доступ более чем к 600 устройствам FortiGate в 55 государствах. По данным Amazon, для масштабирования атак он активно применял генеративные модели ИИ, а ставка делалась не на редкие уязвимости, а на открытые интерфейсы администрирования и слабые пароли.

Об инциденте рассказал Си Джей Мозес, директор по информационной безопасности Amazon Integrated Security. В отчёте указано, что эксплойты против Fortinet не применялись. Атакующий искал панели управления, доступные из интернета, и проверял их на предмет простых учётных данных без многофакторной аутентификации. Дальше в дело вступала автоматизация на базе ИИ, которая помогала закрепляться внутри сети и расширять присутствие на другие устройства.

По информации Amazon, заражённые системы обнаружены в Южной Азии, Латинской Америке, странах Карибского региона, Западной Африке, Северной Европе, Юго-Восточной Азии и ряде других территорий. География получилась широкой, что указывает на массовое сканирование, а не на атаку против конкретной отрасли.

Компания выявила активность после обнаружения сервера, где размещались инструменты, применяемые для работы с FortiGate. Анализ инфраструктуры позволил восстановить картину происходящего. Злоумышленник сканировал управляющие интерфейсы через порты 443, 8443, 10443 и 4443, проверяя наличие доступных сервисов. Затем использовался перебор популярных комбинаций логинов и паролей. Такой метод оказался результативным без применения уязвимостей нулевого дня.

После входа в систему атакующий выгружал конфигурационные файлы. Среди полученных данных оказались:

• учётные данные SSL-VPN с возможностью восстановления паролей;
• административные привилегии;
• правила фильтрации трафика и сведения о внутренней структуре сети;
• параметры IPsec VPN;
• информация о маршрутизации и топологии.

Далее конфигурации обрабатывались при помощи инструментов на Python и Go. По оценке Amazon, эти утилиты созданы с участием генеративных моделей. Си Джей Мозес сообщил, что анализ исходников показал характерные признаки машинной генерации. В коде обнаружены чрезмерные комментарии, повторяющие названия функций, упрощённая структура с акцентом на форматирование, примитивная обработка JSON через строковое сопоставление вместо корректной десериализации, а также заготовки для совместимости с пустыми блоками документации.

После подключения к сетям через VPN злоумышленник разворачивал собственный модуль разведки. Он существовал в нескольких вариантах и позволял быстро собирать сведения о внутренней инфраструктуре. Масштаб атаки говорит о том, что автоматизация сыграла важную роль. ИИ здесь выступил не как магический инструмент взлома, а как ускоритель рутинных операций — перебора, анализа, генерации вспомогательного кода.