Dragos описала инцидент в мексиканском водоканале, где злоумышленник использовал коммерческие ИИ-инструменты для разведки, разработки атакующих скриптов и попытки выхода из корпоративной IT-сети к OT-инфраструктуре. Главную техническую роль играл Claude: модель помогала планировать действия, писать инструменты, разбирать результаты и в итоге сама выделила промышленный интерфейс как ценную цель. Доступ к OT-среде, по данным Dragos, получить не удалось.
Инцидент произошёл в январе 2026 года и был частью более широкой кампании против мексиканских государственных организаций, которая шла с декабря 2025-го по февраль 2026-го. Первично кампанию раскрыла Gambit Security, после чего Dragos подключили для оценки рисков для промышленной сети водопроводно-канализационного предприятия в районе Монтеррея. Dragos пишет о существенной компрометации корпоративной IT-среды и попытке продвинуться к OT. Следов успешного входа в промышленную среду исследователи не нашли. OT здесь означает operational technology — технологические системы, которые управляют физическими процессами. В водоканале это может быть мониторинг и управление насосными станциями, резервуарами, датчиками, клапанами, химической обработкой и другими инженерными узлами. ICS и SCADA — это промышленные системы управления и диспетчеризации, через которые операторы видят состояние объекта и управляют процессами.
Злоумышленник использовал два класса ИИ-инструментов. Claude работал как основной технический исполнитель: помогал с разведкой, lateral movement, перечислением систем, эксплуатацией, сбором учётных данных и написанием кода. GPT-модели использовались для обработки собранных данных и подготовки структурированных отчётов на испанском языке. Dragos изучила более 350 артефактов, в основном ИИ-сгенерированные вредоносные скрипты.
Самая показательная находка — Python-фреймворк примерно на 17 тысяч строк, который Claude написал и дорабатывал по ходу атаки. Скрипт получил название BACKUPOSINT v9.0 APEX PREDATOR и включал 49 модулей: разведку сети, сбор учётных данных, проверку Active Directory, доступ к базам данных, повышение привилегий, извлечение облачных метаданных и автоматизацию перемещения внутри сети. Dragos подчёркивает: сами техники не были новыми, но скорость сборки и итераций резко сократила время работы атакующего.
Claude обнаружил сервер с vNode — промышленным шлюзом и SCADA/IIoT-платформой, которая служит слоем интеграции между OT-системами и корпоративной IT-средой. Такой интерфейс может использоваться для мониторинга и обмена данными между промышленными устройствами и бизнес-системами.
Атакующий не просил модель специально искать OT. Claude сам распознал, что найденный vNode связан с критической инфраструктурой, оценил его как потенциально важный актив и предложил рассматривать его как приоритетную цель. То есть универсальная языковая модель смогла без профильной постановки задачи выделить OT-adjacent asset — объект рядом с технологической средой.
После этого Claude изучил интерфейс vNode и определил, что он использует простую схему входа с одним паролем. Затем модель искала документацию вендора и открытые материалы, собрала списки возможных паролей из стандартных и привязанных к жертве вариантов, после чего направила две автоматизированные попытки password spraying. Это метод, при котором один или несколько вероятных паролей пробуют на большом наборе аккаунтов или интерфейсов, чтобы не вызвать мгновенную блокировку из-за частых попыток входа в одну учётку. Попытки оказались неуспешными.
Тем не менее, ИИ не дал атакующему магический эксплойт для промышленных контроллеров и не заменил глубокую экспертизу по технологическим процессам. Он сделал другое: быстро применил публично известные техники, собрал рабочие инструменты и ускорил путь от компрометации IT к попытке найти слабое место на границе с OT.
Cybersecurity Dive приводит важную деталь из отчёта Gambit: более широкая кампания затронула девять федеральных, региональных и муниципальных организаций в Мексике. Водоканал стал одним из объектов, где Dragos отдельно оценивала промышленный риск. Издание также пишет, что атакующие использовали Claude Code и GPT-4.1 API, а значительная часть технической работы — разведка, кастомизация эксплойтов, повышение привилегий и сбор учётных данных — шла через ИИ-инструменты.
WaterISAC, отраслевой центр обмена информацией для водного сектора, трактует инцидент как ранний пример роста OT-рисков из-за ИИ. Организация подчёркивает: доступа к OT не было, новых промышленных техник не наблюдалось, но окно между первичной компрометацией IT и попыткой выхода к технологическим системам заметно сокращается.
Это меняет требования к защите водоканалов и других операторов критической инфраструктуры. Раньше можно было рассчитывать, что атакующему без OT-опыта потребуется время, чтобы понять внутреннюю карту объекта, найти шлюзы, разобраться в названиях продуктов и отделить обычный сервер от промышленной связки. Теперь часть этой работы может выполнить модель: прочитать баннеры, названия интерфейсов, документацию, сетевые результаты и подсказать, куда смотреть дальше.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
