Avec la GenAI, un groupe compromet des centaines de firewalls Fortinet

Des chercheurs d'Amazon ont découvert une campagne menée par un groupe russophone s'appuyant sur la GenAI pour compromettre des centaines de pare-feux de Fortinet.

De plus en plus d’experts alertent sur la montée en puissance de l’usage de l’IA par les cybercriminels. La division de détection des menaces d’Amazon vient d’en trouver la parfaite illustration. Selon elle, un groupe russophone se sert des outils de GenAI pour compromettre plus de 600 équipements FortiGate de Fortinet dans plus de 55 pays entre le 11 janvier et le 18 février, sans exploiter la moindre vulnérabilité. Il a utilisé des services IA classiques non identifiés pour pirater les équipements faiblement protégés.

Une fois l'accès VPN obtenu sur les réseaux des victimes, le groupe a déployé un outil de reconnaissance réseau personnalisé, décliné en différentes versions écrites en Go et en Python. L'analyse du code source révèle des indicateurs clairs de développement assisté par IA : commentaires redondants se contentant de répéter les noms des fonctions, architecture simpliste privilégiant la mise en forme au détriment des fonctionnalités, analyse JSON rudimentaire par correspondance de chaînes plutôt que par désérialisation. Bien que fonctionnel, l'outil manque de robustesse et présente des défaillances propres à un service élaboré avec l’IA.

Du travail encore artisanal

« L'auteur de cette attaque n'est pas connu pour être associé à un groupe de menace persistante avancée (APT) disposant de ressources étatiques », indique le rapport. « Il s'agit probablement d'un individu ou d'un petit groupe motivé par l'appât du gain qui, grâce à l'IA, a atteint une échelle opérationnelle qui aurait auparavant nécessité une équipe bien plus importante et compétente.» Le groupe n'est pas non plus (ou du moins, ne l'était pas jusqu'à présent) très intelligent : il a laissé des fichiers opérationnels, notamment des plans d'attaque générés par l'IA, des configurations des victimes et le code source d'outils personnalisés, sur l'infrastructure IT accessible au public qui hébergeait ses attaques.

« C'est comme une chaîne de montage de cybercriminalité alimentée par l'IA, permettant à des travailleurs moins qualifiés de produire à grande échelle », ont déclaré les chercheurs d'Amazon. Après avoir dérobé des identifiants d'administrateur, des règles de pare-feu, la topologie du réseau, les informations de routage et les configurations des VPN IPsec, le pirate a utilisé des scripts Python assistés par IA pour analyser, déchiffrer et organiser ces configurations volées. Une fois infiltrés sur le réseau, les pirates ont réussi à compromettre Active Directory dans des centaines d'organisations, à extraire des bases de données d'identifiants complètes et à cibler l'infrastructure de sauvegarde – une étape potentiellement décisive avant le déploiement d'un ransomware, précise le rapport.

Revenir à l’hygiène de sécurité basique

CJ Moses, RSSI d’Amazon qui a co-écrit ce rapport constate que les services de GenAI abaissent les barrières techniques à l’entrée pour les cyberattaques. Un seul acteur, ou un groupe très restreint, a généré l'intégralité de sa boîte à outils grâce au développement assisté par l'IA, observe-t-il. Mais, il rappelle aux RSSI une évidence : négliger les fondamentaux de la cybersécurité conduit inévitablement à une faille de sécurité. Dans cette campagne, les pare-feux Fortigate compromis ne sont pas exploités par des défauts intrinsèques du produit, mais par des ports de gestion exposés et des identifiants faibles, avec une authentification à un seul facteur. « Face à des environnements renforcés ou à des mesures de défense plus sophistiquées, cet acteur s'est simplement tourné vers des cibles plus vulnérables plutôt que de persévérer », indique le rapport.

Il martèle « des fondamentaux de défense solides restent la contre-mesure la plus efficace » face à des attaques similaires. Cela inclut la gestion des correctifs pour les dispositifs de périmètre, la gestion rigoureuse des identifiants, la segmentation du réseau et la détection fiable des indicateurs post-exploitation. Pour Jeff Pollard, analyste principal chez Forrester Research, « il s’agit d’un cas où il faut impérativement respecter les fondamentaux, ce qui paradoxalement les rend encore plus importants ». Il reconnait néanmoins que « l’attaque est la preuve que les pirates ont utilisé des plateformes IA pour l’amplifier ».

Des recommandations

Le rapport d'Amazon formule plusieurs recommandations à l'intention des administrateurs réseau utilisant des équipements FortiGate. Il leur recommande notamment de s'assurer que les interfaces de gestion ne sont pas exposées à Internet ou, si cela s'avère nécessaire, de limiter l'accès à des plages d'adresses IP connues et d'utiliser un serveur bastion ou un réseau de gestion hors bande. Conformément aux exigences élémentaires de cybersécurité, tous les identifiants par défaut et courants des appliances FortiGate doivent être modifiés. Il est impératif de mettre en œuvre l'authentification multifacteur pour tous les accès administrateur et VPN, et de veiller à ce qu'aucun mot de passe ne soit réutilisé entre les identifiants VPN FortiGate et les comptes de domaine Active Directory.

Afin de prévenir l'exploitation de leurs systèmes, les administrateurs systèmes des entreprises utilisant AWS sont invités à activer GuardDuty pour la détection des menaces, la surveillance des appels d'API inhabituels et des schémas d'utilisation des identifiants, à utiliser Amazon Inspector pour l'analyse automatique des vulnérabilités logicielles et des expositions réseau non intentionnelles, et à utiliser Security Hub pour une visibilité continue sur leur niveau de sécurité.