Nová vlna kybernetických útokov mení globálne prostredie hrozieb, keďže komerčne dostupné nástroje umelej inteligencie umožňujú aj relatívne málo skúseným hackerom vykonávať rozsiahle prieniky, ktoré boli kedysi vyhradené sofistikovaným kyberzločineckým syndikátom.
Podľa zistení zverejnených spoločnosťou Amazon Threat Intelligence finančne motivovaný, rusky hovoriaci aktér hrozby využil viacero generatívnych AI služieb na kompromitovanie viac než 600 sieťových zariadení FortiGate v najmenej 55 krajinách medzi 11. januárom a 18. februárom 2026. Kampaň, pozoruhodná svojím rozsahom a efektivitou, signalizuje zásadný posun v spôsobe, akým sa v ére AI realizuje kyberkriminalita.
Zlomový bod v kyberkriminalite
Operácia predstavuje širší trend: umelá inteligencia znižuje vstupnú bariéru pre kybernetickú trestnú činnosť.
„Nejde o vysoko sofistikovaného aktéra v tradičnom zmysle,“ uvádza správa. „No s podporou AI dosiahol úroveň operačného rozsahu, ktorá si predtým vyžadovala dobre financované tímy.“
Útočník namiesto zneužívania doteraz neznámych softvérových zraniteľností využíval základné bezpečnostné slabiny – vrátane verejne dostupných správcovských rozhraní, slabých alebo opakovane používaných hesiel a absencie viacfaktorovej autentifikácie. Účinnosť kampane nebola založená na inovácii, ale na automatizácii a rozsahu.
Zneužitie základov – vo veľkom meradle
Útočník systematicky skenoval internet s cieľom nájsť zariadenia FortiGate s verejne dostupnými správcovskými portmi, pričom sa zameriaval na bežne používané prístupové body, ako sú porty 443, 8443 a 10443. Pomocou automatizovaných skriptov skúšal prihlasovacie kombinácie založené na často opakovane používaných prihlasovacích údajoch.
Po získaní prístupu extrahoval kompletné konfiguračné súbory zo zariadení. Tieto súbory mali vysokú hodnotu a často obsahovali:
- Administrátorské používateľské mená a heslá
- VPN prihlasovacie údaje s obnoviteľnými heslami v otvorenom texte
- Informácie o internej sieťovej architektúre a smerovaní
- Firewallové pravidlá a politiky
- Konfigurácie VPN partnerov
S týmito informáciami sa útočník dostal hlbšie do sietí obetí, pričom často získal prístup k interným systémom bez okamžitého spustenia poplachu.
Od vstupného bodu k úplnému kompromitovaniu siete
Po počiatočnom prístupe útočník nasadil sériu automatizovaných prieskumných nástrojov, z ktorých mnohé boli zjavne generované alebo výrazne podporené AI.
Tieto nástroje mapovali interné siete, identifikovali kľúčové systémy a uprednostňovali ciele, ako sú doménové radiče a zálohovacie servery. Pomocou voľne dostupných open-source hackerských frameworkov útočník následne:
- Extrahoval hashované heslá z prostredí Active Directory
- Vykonával laterálny pohyb naprieč sieťami
- Pokúšal sa o relay a opätovné použitie prihlasovacích údajov
- Zameriaval sa na zálohovaciu infraštruktúru, často ako predstupeň ransomvéru
V niekoľkých potvrdených prípadoch boli exfiltrované celé databázy prihlasovacích údajov. Minimálne v jednom prípade bol účet doménového administrátora chránený slabým alebo opakovane použitým heslom, čo umožnilo rýchlu eskaláciu oprávnení.
AI ako „multiplikátor sily“
Najvýraznejším aspektom kampane bola rozsiahla závislosť útočníka od generatívnych AI nástrojov vo všetkých fázach operácie.
Vyšetrovatelia zistili:
- AI-generované plány útokov s podrobnými krokmi
- Automaticky vytvorené skripty na extrakciu a spracovanie prihlasovacích údajov
- Vlastné prieskumné frameworky v jazykoch Python a Go
- Nástroje na automatizáciu workflow koordinujúce skenovanie a zneužívanie
Útočník údajne používal viacero AI systémov súčasne – jeden na primárne plánovanie a vývoj, druhý na riešenie problémov a prispôsobovanie sa novým prostrediam.
V jednom prípade aktér nahral do AI systému internú mapu siete obete – vrátane IP adries, názvov hostiteľov a prihlasovacích údajov – a požiadal o detailný plán ďalšieho kompromitovania.
„Ide v podstate o AI-poháňanú výrobnú linku pre kyberkriminalitu,“ uzatvára správa.
Obmedzené zručnosti, vysoký dopad
Napriek rozsahu operácie analytici zdôraznili, že technická úroveň útočníka zostala relatívne skromná.
AI-generovaný kód vykazoval zjavné nedostatky:
- Slabé ošetrenie chýb
- Neefektívny návrh
- Redundantnú alebo povrchnú dokumentáciu
- Zlyhania v komplexných alebo neštandardných prostrediach
Pri stretnutí so spevnenými systémami alebo zaplátanými zraniteľnosťami útočník často cieľ opustil namiesto toho, aby upravil svoju taktiku.
To naznačuje kľúčový poznatok: AI zosilňuje schopnosti, nenahrádza odbornosť. Útočník uspel nie vďaka genialite, ale vďaka objemu a rýchlosti.
Globálna, oportunistická kampaň
Zdá sa, že útok nebol zameraný na konkrétne odvetvie. Namiesto toho fungoval oportunisticky – vyhľadával zraniteľné systémy po celom svete.
Zhluky kompromitovaných zariadení boli pozorované v:
- Južnej Ázii
- Latinskej Amerike a Karibiku
- Západnej Afrike
- Severnej Európe
- Juhovýchodnej Ázii
V niektorých prípadoch bolo kompromitovaných viacero zariadení v rámci jednej organizácie alebo poskytovateľa spravovaných služieb, čo poukazuje na širšie systémové slabiny.
Dôsledky pre celé odvetvie
Táto kampaň môže predstavovať iba začiatok širšieho trendu.
Ako sa generatívne AI nástroje stávajú dostupnejšími, očakáva sa, že kvalifikovaní aj menej skúsení aktéri zvýšia objem aj frekvenciu útokov.
To zásadne mení model hrozieb. Obrancovia už nečelia len elitným protivníkom – čelia škálovanej automatizácii poháňanej AI.
Dôsledky sú významné:
- Častejšie útoky zamerané na základné bezpečnostné medzery
- Zvýšený tlak na organizácie so slabou kybernetickou hygienou
- Nižšie náklady a úsilie potrebné na spustenie globálnych kampaní
Prečo bol útok úspešný
Kampaň uspela nie kvôli pokročilým technikám, ale kvôli odstrániteľným bezpečnostným slabinám:
- Internetu vystavené administrátorské rozhrania
- Slabé alebo opakovane používané heslá
- Absencia viacfaktorovej autentifikácie
- Nedostatočná segmentácia siete
Ide o dlhodobo známe problémy kybernetickej bezpečnosti – dnes zosilnené automatizáciou.
Defenzívne opatrenia sú kritické
Tradičné osvedčené postupy zostávajú vysoko účinné aj proti hrozbám podporovaným AI.
Organizáciám sa odporúča:
- Obmedziť alebo úplne odstrániť internetové vystavenie správcovských rozhraní
- Presadzovať silné a jedinečné heslá vo všetkých systémoch
- Univerzálne implementovať viacfaktorovú autentifikáciu
- Pravidelne auditovať a rotovať prihlasovacie údaje
- Monitorovať neobvyklé prihlasovania a laterálny pohyb
- Izolovať a zabezpečiť zálohovaciu infraštruktúru
Detekcia založená na správaní – namiesto spoliehania sa na známe signatúry malvéru – je čoraz dôležitejšia vzhľadom na používanie legitímnych nástrojov útočníkom.
Pohľad do budúcnosti
Incident poukazuje na širšiu transformáciu v oblasti kybernetickej bezpečnosti: demokratizáciu ofenzívnych schopností.
Kým kedysi sofistikované kybernetické operácie vyžadovali tímy špecialistov, dnes ich môžu vykonávať jednotlivci využívajúci AI ako multiplikátor sily.
„Nejde o jedného aktéra,“ naznačuje správa. „Ide o nový operačný model kyberkriminality.“
Ako sa rok 2026 rozvíja, odborníci očakávajú, že útoky podporované AI budú rásť v rozsahu aj frekvencii – čo prinúti organizácie posilniť obranu nielen proti inteligentnejším hrozbám, ale aj proti rýchlejším a početnejším.