AI knäckte 600 brandväggar på fem veckor

Föreställ dig att du anställer en hacker som inte vet vad han gör – men som har tillgång till en AI som mer än kompenserar för hans bristande kompetens. Det är precis vad som hände när en rysktalande angripare tog sig in i över 600 brandväggar på bara fem veckor. Och den skrämmande nyheten är att det egentligen inte krävdes särskilt mycket skicklighet för att lyckas.

Hur det hela började

Amazon Web Services säkerhetsteam, Amazon Threat Intelligence, snubblade under rutinmässig hotövervakning över en attackkampanj som pågick från den 11 januari till den 18 februari 2026. En rysktalande aktör hade lyckats kompromissa med mer än 600 Fortigate-brandväggar i över 55 länder – inklusive de nordiska länderna.

Det som gör historien extra pikant är att hackaren inte utnyttjade några avancerade säkerhetshål i Fortigate-systemet. Nej, det handlade om något betydligt enklare och mer skämmigt: svaga lösenord och brandväggar vars hanteringsgränssnitt var öppna mot internet. Det är ungefär som att glömma nyckeln i dörren och sedan bli förvånad över att någon gick in.

AI som turbomotor för en halvdan hacker

Det som skiljer den här attacken från tidigare kampanjer är att angriparen använde minst två kommersiella AI-tjänster, däribland ett verktyg baserat på Googles Gemini. AI:n fungerade som en slags allvetande assistent som hjälpte till i varje fas av attacken – från att planera intrånget, skriva kod, till att ta sig vidare in i nätverken.

Amazon beskriver det träffande som ett AI-drivet löpande band för cyberkriminalitet. Angriparen hade låg till medelhög teknisk förmåga på egen hand men lyckades genom AI-assistansen åstadkomma det som normalt krävt ett helt team av skickliga hackare. Man kan säga att AI demokratiserade hackeryrket – tyvärr på ett sätt ingen önskade.

Angriparens egna operativa dokument låg dessutom öppet tillgängliga på samma infrastruktur som verktygen, helt okrypterade. Det gav Amazon fullständig insyn i metoderna – som att hitta en inbrottstjuvs noggrant detaljerade dagbok på brottsplatsen.

Vad hackaren faktiskt gjorde när han kom in

När angriparen väl tagit sig in via VPN-åtkomst till offrets nätverk kördes ett automatiserat rekognosceringsverktyg skrivet i Go och Python – med tydliga spår av att ha genererats av AI. Verktyget kartlade nätverket, identifierade domänkontrollanterna och letade efter sårbarheter.

Därefter försökte angriparen kompromissa med Active Directory med hjälp av välkända verktyg som Mimikatz och Meterpreter, extrahera kompletta lösenordsdatabaser och ta sig in i backupinfrastruktur – ett klassiskt försteg inför en ransomware-attack. I minst ett fall hittades ett administratörskonto med ett lösenord i klartext. Håll för skrattet.

Trots framgångarna uppvisade angriparen upprepade misslyckanden mot härdade miljöer. När standardattackerna inte fungerade valde aktören enkelt att gå vidare till ett mjukare mål istället för att försöka lösa problemet kreativt. AI:n kan planera, men den kan inte improvisera som en erfaren säkerhetsexpert.

Nordiska länder drabbades också

Attackens geografiska spridning var bred och opportunistisk snarare än riktad mot specifika branscher. Koncentrationer av komprometterade enheter hittades i Sydasien, Latinamerika, Karibien, Västafrika, Nordeuropa och Sydostasien. De nordiska länderna nämns explicit som drabbade, vilket innebär att svenska och skandinaviska organisationer som kör Fortigate-brandväggar med exponerade hanteringsgränssnitt kan ha drabbats.

Så skyddar du dig mot AI-förstärkta attacker

Det trygga i det hela – och det är en udda slags tröst – är att grundläggande säkerhetsåtgärder faktiskt fungerade. Angriparen misslyckades konsekvent mot organisationer med starka lösenord, MFA och ordentligt härdade miljöer. Det handlar alltså inte om att köpa dyra nya system utan om att faktiskt göra det man alltid visste att man borde göra.

Konkreta åtgärder som rekommenderas av AWS är att stänga brandväggarnas hanteringsgränssnitt mot internet, byta ut alla standardlösenord och vanliga lösenord på Fortigate-enheter, aktivera multifaktorautentisering för all VPN- och administratörsåtkomst, rotera SSL-VPN-användarnas lösenord och granska VPN-loggar efter anslutningar från ovanliga geografiska platser.

Utöver det bör Active Directory-miljöer granskas för ovanliga replikeringsoperationer, och backupservrar bör isoleras från det allmänna nätverket och patchas mot kända sårbarheter.

Framtiden ser ännu mörkare ut

Amazon Threat Intelligence är tydliga med att den här typen av AI-förstärkta attacker förväntas öka under 2026. Tröskeln för att genomföra sofistikerade cyberattacker sjunker i takt med att AI-verktygen blir bättre och mer tillgängliga. Det som tidigare krävde ett team av specialister kan nu göras av en enskild aktör med begränsad teknisk kompetens men tillgång till rätt AI-verktyg.

Med andra ord: säkerhetslandskapet håller på att förändras i grunden, och de organisationer som inte tar grundläggande säkerhetshygien på allvar kommer att bli enkla byten – oavsett hur kompetent angriparen är.

Källor

• Computer Sweden – AI-bestyckad hackare knäckte 600 brandväggar på en månad
• AWS Security Blog – AI-augmented threat actor accesses FortiGate devices at scale
• Bleeping Computer – Amazon: AI-assisted hacker breached 600 FortiGate firewalls in 5 weeks