अमेज़ॅन ने हाल ही में एक सुरक्षा चेतावनी जारी की जिसमें कहा गया कि केवल पांच हफ्तों में, एक रूसी भाषी हैकर ने फोर्टिनेट फोर्टीगेट फ़ायरवॉल में बड़े पैमाने पर घुसपैठ शुरू करने के लिए विभिन्न प्रकार की जेनेरिक एआई सेवाओं का उपयोग किया और 55 देशों में 600 से अधिक उपकरणों से सफलतापूर्वक समझौता किया।
अमेज़ॅन के एकीकृत सुरक्षा विभाग के मुख्य सूचना सुरक्षा अधिकारी सीजे मोसेस ने नवीनतम रिपोर्ट में खुलासा किया कि हमलों का यह दौर 11 जनवरी और 18 फरवरी, 2026 के बीच हुआ। हमलावरों ने शून्य-दिन की कमजोरियों का फायदा नहीं उठाया, बल्कि इंटरनेट पर उजागर फोर्टिगेट प्रबंधन इंटरफेस पर ध्यान केंद्रित किया, घुसपैठ को अंजाम देने के लिए कमजोर पासवर्ड और बहु-कारक प्रमाणीकरण की कमी वाले खातों के साथ संयुक्त, और आगे पीड़ित नेटवर्क में अन्य उपकरणों के माध्यम से तोड़ने के लिए एआई स्वचालन का उपयोग किया। रिपोर्ट से पता चलता है कि ये समझौता किए गए फ़ायरवॉल दक्षिण एशिया, लैटिन अमेरिका, कैरिबियन, पश्चिम अफ्रीका, उत्तरी यूरोप और दक्षिण पूर्व एशिया जैसे कई क्षेत्रों में वितरित किए गए हैं। विशिष्ट उद्योगों को लक्षित करने के बजाय लक्ष्य चयन स्पष्ट रूप से अवसरवादी है।
अमेज़ॅन ने कहा कि उसकी सुरक्षा टीम ने फोर्टीगेट फ़ायरवॉल पर हमला करने के लिए विशेष रूप से दुर्भावनापूर्ण उपकरण वितरित करने के लिए उपयोग किए जाने वाले सर्वर की खोज के बाद ऑपरेशन के समग्र ढांचे को उजागर किया। हैकर्स सार्वजनिक नेटवर्क पर उजागर फोर्टिगेट प्रबंधन इंटरफ़ेस को खोजने के लिए पहले पोर्ट 443, 8443, 10443 और 4443 को स्कैन करते हैं, और फिर फोर्टिगेट से संबंधित ज्ञात या अज्ञात कमजोरियों का फायदा उठाने के बजाय पहुंच हासिल करने के लिए सामान्य कमजोर पासवर्ड का उपयोग करते हैं।
डिवाइस पर सफलतापूर्वक आक्रमण करने के बाद, हमलावर डिवाइस कॉन्फ़िगरेशन फ़ाइल को निर्यात करेगा और एसएसएल-वीपीएन उपयोगकर्ता क्रेडेंशियल (पुनर्प्राप्त करने योग्य पासवर्ड सहित), प्रबंधन खाते, एक्सेस नियंत्रण नीतियां और आंतरिक नेटवर्क आर्किटेक्चर, आईपीएसईसी वीपीएन कॉन्फ़िगरेशन, नेटवर्क टोपोलॉजी और रूटिंग जानकारी जैसे प्रमुख डेटा प्राप्त करेगा। इन कॉन्फ़िगरेशन फ़ाइलों को तब टूल द्वारा पार्स और डिक्रिप्ट किया गया था, और इन टूल के स्रोत कोड ने एआई-सहायता वाले विकास के स्पष्ट निशान दिखाए, जैसे कि पायथन और गो में लिखे गए कस्टम टोही कार्यक्रमों में अनावश्यक टिप्पणियाँ, सरल आर्किटेक्चर लेकिन फ़ॉर्मेटिंग में बहुत अधिक प्रयास, कैनोनिकल JSON डीसेरिएलाइज़ेशन के बजाय स्ट्रिंग मिलान का उपयोग करना, और अंतर्निहित भाषा सुविधाओं के लिए अनुकूलता परतें लिखना लेकिन खाली दस्तावेज़ छोड़ना। अमेज़ॅन ने बताया कि ये उपकरण हमलावरों की विशिष्ट आवश्यकताओं को मुश्किल से पूरा कर सकते हैं, लेकिन अक्सर जटिल या अच्छी तरह से मजबूत वातावरण में विफल हो जाते हैं और मजबूती की कमी होती है। यह "एआई-जनरेटेड कोड की एक विशिष्ट अभिव्यक्ति है जिसे गहराई से पॉलिश नहीं किया गया है।"
इन स्वचालित उपकरणों का उपयोग समझौता किए गए नेटवर्क की गहराई से जांच करने के लिए किया गया था, जिसमें रूटिंग टेबल का विश्लेषण करना, आकार के आधार पर नेटवर्क को वर्गीकृत करना, ओपन सोर्स गोगो स्कैनर का उपयोग करके पोर्ट स्कैन करना, एसएमबी होस्ट और डोमेन नियंत्रकों की पहचान करना और न्यूक्ली टूल की मदद से HTTP सेवाओं और संभावित कमजोरियों की तलाश करना शामिल था। जांचकर्ताओं ने पाया कि जब हमलावरों का सामना उन प्रणालियों से होता है जिन्हें समय पर ठीक कर दिया गया है या सख्ती से सख्त कर दिया गया है, लेकिन बार-बार प्रयास करने के बाद भी नहीं टूट पाते हैं, तो वे इन लक्ष्यों को छोड़ देंगे और इसके बजाय हमला करने के लिए अधिक कमजोर प्रणालियों की तलाश करेंगे।
बाद में हमले की श्रृंखला में, शोधकर्ताओं ने हमलावर के सर्वर पर रूसी में लिखे गए परिचालन दस्तावेज़ की खोज की, जिसमें सक्रिय निर्देशिका डेटाबेस से एनटीएलएम पासवर्ड हैश निर्यात करने के लिए विंडोज डोमेन नियंत्रक पर DCSync हमले का संचालन करने के लिए मीटरप्रेटर और मिमिकैट्ज़ का उपयोग करने का विवरण दिया गया था। इसके अतिरिक्त, हमलावरों ने विशेष रूप से वीईएम बैकअप और प्रतिकृति बैकअप सर्वर को लक्षित किया, कस्टम पावरशेल स्क्रिप्ट और संकलित क्रेडेंशियल निष्कर्षण टूल का उपयोग करके वीईएम से संबंधित कमजोरियों का फायदा उठाने का प्रयास किया ताकि बाद में संभावित रैंसमवेयर हमले से पहले बैकअप बुनियादी ढांचे से समझौता किया जा सके या नियंत्रण लिया जा सके।
अमेज़ॅन द्वारा IP 212[.]11.64.250 के साथ खोजे गए सर्वर पर, सुरक्षा टीम को "DecryptVeeamPasswords.ps1" नामक एक पावरशेल स्क्रिप्ट मिली, जिसका उपयोग वीईएम बैकअप सिस्टम में क्रेडेंशियल्स को डिक्रिप्ट और दुरुपयोग करने के लिए किया गया था। रिपोर्ट में बताया गया है कि हमलावरों ने तथाकथित "कॉम्बैट नोट्स" में बार-बार उल्लेख किया है कि वे कई कमजोरियों का फायदा उठाने की कोशिश कर रहे थे, जिनमें QNAP रिमोट कोड निष्पादन भेद्यता CVE-2019-7192, Veeam सूचना प्रकटीकरण भेद्यता CVE-2023-27532, और Veeam रिमोट कोड निष्पादन भेद्यता CVE-2024-40711, आदि शामिल हैं।
अमेज़ॅन का मानना है कि इस खतरे वाले अभिनेता का समग्र तकनीकी स्तर "निम्न से मध्यम" है, लेकिन जेनेरिक एआई सेवाओं के व्यापक उपयोग के माध्यम से इसकी हमले की क्षमताओं में काफी वृद्धि हुई है। शोधकर्ताओं ने नोट किया कि हमलावरों ने चरण-दर-चरण हमले के तरीके उत्पन्न करने, बहु-भाषा कस्टम स्क्रिप्ट लिखने, टोही ढांचे का निर्माण करने, पार्श्व आंदोलन पथों की योजना बनाने और आंतरिक परिचालन दस्तावेज़ लिखने के लिए पूरे ऑपरेशन में कम से कम दो बड़े पैमाने की भाषा मॉडल सेवाओं का उपयोग किया। कुछ मामलों में, हमलावरों ने एआई सेवा को संपूर्ण आंतरिक नेटवर्क टोपोलॉजी (आईपी पते, होस्टनाम, क्रेडेंशियल्स और ज्ञात सेवाओं सहित) भी प्रस्तुत की, नेटवर्क के भीतर और विस्तार करने के तरीके पर सिफारिशों का अनुरोध किया।
अमेज़ॅन ने जोर देकर कहा कि इस घटना ने स्पष्ट रूप से प्रदर्शित किया है कि वाणिज्यिक एआई सेवाएं साइबर हमलों के लिए सीमा को कम कर रही हैं, जिससे कम-अनुभव वाले हमलावरों को बड़े पैमाने पर, बहुराष्ट्रीय संचालन शुरू करने के लिए स्वतंत्र रूप से जटिल घुसपैठ को पूरा करने में कठिनाई होगी। इस प्रकार के खतरे से निपटने के लिए, अमेज़ॅन अनुशंसा करता है कि फोर्टिगेट प्रशासक सार्वजनिक नेटवर्क पर प्रबंधन इंटरफेस को उजागर करने से बचें, प्रमुख खातों के लिए बहु-कारक प्रमाणीकरण सक्षम करें, सुनिश्चित करें कि वीपीएन पासवर्ड सक्रिय निर्देशिका खाता पासवर्ड के साथ सिंक से बाहर हैं, और बैकअप सिस्टम को सख्त करने पर ध्यान केंद्रित करें। अमेज़ॅन की टिप्पणियां Google की हालिया रिपोर्टों को प्रतिबिंबित करती हैं कि हैकर्स प्रारंभिक टोही से लेकर घुसपैठ के बाद के संचालन तक, साइबर हमले के सभी चरणों में जेमिनी एआई का लाभ उठा रहे हैं।
मोटे तौर पर अमेज़ॅन रिपोर्ट के साथ मेल खाते हुए, सुरक्षा ब्लॉग "साइबर एंड रेमन" ने एक स्वतंत्र अध्ययन प्रकाशित किया जिसमें हमलावरों द्वारा एआई और बड़े भाषा मॉडल को सीधे घुसपैठ प्रक्रिया में एम्बेड करने के अधिक तकनीकी विवरण का खुलासा किया गया। शोधकर्ता ने पाया कि उपरोक्त गलत कॉन्फ़िगर किए गए सर्वर 212.11.64[.]250 ने 1,402 फ़ाइलें और 139 उपनिर्देशिकाएँ उजागर कीं, जिनमें न केवल चुराए गए फोर्टीगेट कॉन्फ़िगरेशन बैकअप, सक्रिय निर्देशिका मैपिंग डेटा, क्रेडेंशियल डंप, भेद्यता मूल्यांकन परिणाम और हमले की योजना बनाने वाले दस्तावेज़ शामिल थे, बल्कि एआई इंटरैक्शन से संबंधित बड़ी संख्या में कलाकृतियां भी शामिल थीं।
शोधकर्ताओं ने बताया कि सर्वर ज्यूरिख, स्विट्जरलैंड में स्थित है और AS4264 (ग्लोबल-डेटा सिस्टम आईटी कॉर्पोरेशन) द्वारा होस्ट किया गया है। इसकी निर्देशिका संरचना में सीवीई शोषण कोड, फोर्टीगेट कॉन्फ़िगरेशन फ़ाइलें, न्यूक्लि स्कैनिंग टेम्प्लेट और वीम क्रेडेंशियल निष्कर्षण उपकरण शामिल हैं। यह ध्यान देने योग्य है कि "क्लाउड-0" और "क्लाउड" नाम के दो फ़ोल्डरों में कुल 200 से अधिक फ़ाइलें हैं, जिनमें क्लाउड कोड के कार्य आउटपुट, सत्र अंतर और कैश्ड प्रॉम्प्ट शब्द स्थिति शामिल है, जो दर्शाता है कि हमलावर और वाणिज्यिक एआई टूल के बीच निरंतर और व्यवस्थित बातचीत होती है। "fortigate_27.123 (पूर्ण आईपी डिसेन्सिटाइज्ड)" नाम का एक अन्य फ़ोल्डर कॉन्फ़िगरेशन डेटा और क्रेडेंशियल जानकारी को सहेजता है, जिसके किसी समझौता किए गए FortiGate डिवाइस से होने का संदेह है।
आगे के विश्लेषण में यह भी पाया गया कि हमलावर ने टोही डेटा और वाणिज्यिक बड़े मॉडलों के बीच एक "पुल" के रूप में "ARXON" नामक एक कस्टम मॉडल कॉन्टेक्स्ट प्रोटोकॉल (MCP) सर्वर बनाया। शोधकर्ताओं को सार्वजनिक चैनलों पर ARXON के बारे में कोई जानकारी नहीं मिली, और अनुमान लगाया कि यह रूपरेखा संभवतः हमलावरों द्वारा स्वयं विकसित की गई थी। इस आर्किटेक्चर में, एमसीपी सर्वर पीड़ित नेटवर्क और फोर्टीगेट उपकरणों से निकाले गए डेटा को प्राप्त करने, इसे एक बड़े भाषा मॉडल में इनपुट करने और फिर स्वचालित पोस्ट-शोषण विश्लेषण और हमले की योजना के लिए मॉडल द्वारा उत्पन्न आउटपुट को अन्य हमले उपकरणों से जोड़ने के लिए जिम्मेदार है।
ARXON के अलावा, शोधकर्ताओं ने CHECKER2 नामक एक गो भाषा उपकरण की भी खोज की, जिसे डॉकर में तैनात किया गया है और समानांतर में बड़े पैमाने पर वीपीएन लक्ष्यों को स्कैन करने के लिए उपयोग किया जाता है। लॉग से पता चलता है कि टूल ने 100 से अधिक देशों में 2,500 से अधिक संभावित लक्ष्यों को स्कैन किया, जो हमले की व्यापक कवरेज को दर्शाता है। समझौता किए गए फोर्टीगेट इकाइयों और आंतरिक नेटवर्क से एकत्र किए गए टोही डेटा को कथित तौर पर ARXON में फीड किया जाएगा, जो एक संरचित हमले की योजना तैयार करने के लिए डीपसीक और क्लाउड जैसे बड़े मॉडल का उपयोग करता है, जिसमें डोमेन प्रशासक विशेषाधिकार कैसे प्राप्त करें, उच्च-मूल्य क्रेडेंशियल्स को प्राथमिकता देना, शोषण के लिए अनुशंसित कदम और नेटवर्क के भीतर पार्श्व प्रवेश के लिए विशिष्ट पथ शामिल हैं।
कुछ परिदृश्यों में, क्लॉड कोड को हमलावर टूल को सीधे निष्पादित करने के लिए भी कॉन्फ़िगर किया गया है, जैसे इम्पाकेट स्क्रिप्ट, मेटास्प्लोइट मॉड्यूल, हैशकैट इत्यादि, हमलावर को निर्देशों की एक-एक करके पुष्टि करने की आवश्यकता के बिना। शोधकर्ताओं ने देखा कि कुछ हफ्तों के भीतर, हमले प्रणाली में महत्वपूर्ण विकास हुआ: शुरू में हमलावर खुले स्रोत हेक्सस्ट्राइक एमसीपी ढांचे पर भरोसा करते थे, और लगभग आठ सप्ताह बाद बड़े पैमाने पर घुसपैठ की दक्षता में और सुधार करने के लिए अपनी जरूरतों के लिए अनुकूलित एक अधिक स्वचालित ARXON प्रणाली में परिवर्तित हो गए।
अपने निष्कर्ष में, स्वतंत्र रिपोर्ट अमेज़ॅन के आकलन से सहमत है: जेनरेटिव एआई ने वास्तव में इस ऑपरेशन में एक "गुणक" की भूमिका निभाई, जिससे हमलावरों को सीमित तकनीकी क्षमताओं के साथ अपने हमलों के पैमाने और जटिलता का तेजी से विस्तार करने की अनुमति मिली। शोधकर्ता रक्षकों को यह भी याद दिलाते हैं कि उन्हें बॉर्डर उपकरणों को पैच करने को प्राथमिकता देनी चाहिए, एसएसएच पहुंच को प्रतिबंधित और मॉनिटर करना चाहिए, और एआई का उपयोग करके इस प्रकार की स्वचालित घुसपैठ से निपटने के लिए असामान्य वीपीएन खाता निर्माण व्यवहार का नियमित रूप से ऑडिट करना चाहिए।
इसके अतिरिक्त, क्रोनअप सुरक्षा शोधकर्ता जर्मन फर्नांडीज ने एक उजागर निर्देशिका के साथ एक अलग सर्वर की खोज की, जिसमें फोर्टीवेब उपकरणों को लक्षित करने वाले एआई-जनरेटेड हमले उपकरण शामिल थे। हालाँकि इन उपकरणों के इस फोर्टीगेट हमले में सीधे तौर पर शामिल होने की अभी तक पुष्टि नहीं हुई है, लेकिन यह खोज एक बार फिर इस बात पर प्रकाश डालती है कि खतरे वाले अभिनेता अपनी हमले की क्षमताओं का विस्तार करने के लिए एआई टूल का उपयोग करने के नए तरीके तलाशना जारी रखते हैं।