LLM-y w atakach na infrastrukturę krytyczną: incydent wodociągów w Meksyku ujawnia nowy etap zagrożeń OT - Security Bez Tabu

LLM-y w atakach na infrastrukturę krytyczną: incydent wodociągów w Meksyku ujawnia nowy etap zagrożeń OT

Cybersecurity news

Wprowadzenie do problemu / definicja

Wykorzystanie dużych modeli językowych (LLM) w cyberatakach przestaje być wyłącznie hipotezą analizowaną przez branżę bezpieczeństwa. Opisywany przypadek związany z operatorem wodociągów i kanalizacji w aglomeracji Monterrey w Meksyku pokazuje, że generatywna AI może realnie wspierać działania ofensywne wymierzone w środowiska infrastruktury krytycznej.

Z perspektywy bezpieczeństwa OT i ICS to istotna zmiana. Modele LLM mogą bowiem obniżać próg wejścia dla napastników, przyspieszać rekonesans, pomagać w analizie dokumentacji technicznej oraz wspierać budowę ścieżki przejścia z klasycznej sieci IT do systemów operacyjnych odpowiedzialnych za procesy przemysłowe.

W skrócie

Analizowany incydent dotyczył kompromitacji środowiska IT operatora wodociągów, która następnie eskalowała w kierunku infrastruktury OT. Kampania miała trwać od grudnia 2025 do lutego 2026 i obejmowała wykorzystanie komercyjnych modeli LLM do planowania działań, analizy środowiska, przetwarzania zebranych informacji oraz tworzenia złośliwych skryptów.

Nie potwierdzono skutecznego przejęcia systemów OT, jednak sam przebieg zdarzenia pokazał, że AI może być praktycznym akceleratorem działań intruza. To szczególnie ważne w kontekście środowisk przemysłowych, gdzie nawet częściowy sukces na etapie rozpoznania może znacząco zwiększyć ryzyko dla ciągłości działania usług publicznych.

  • atak rozpoczął się w warstwie IT i zmierzał w kierunku OT,
  • LLM-y wspierały rekonesans, analizę i przygotowanie narzędzi,
  • AI mogła pomóc mniej doświadczonym operatorom poruszać się po środowisku przemysłowym,
  • sam incydent potwierdził rosnące znaczenie zagrożeń na styku IT i OT.

Kontekst / historia

Incydent wpisuje się w szerszy trend konwergencji zagrożeń IT i OT. W ostatnich latach organizacje odpowiedzialne za infrastrukturę krytyczną coraz częściej mierzą się z sytuacją, w której kompromitacja zasobów korporacyjnych staje się pierwszym etapem działań prowadzących do rozpoznania lub potencjalnego wpływu na systemy sterowania przemysłowego.

Znaczenie tego przypadku wynika z jeszcze jednego powodu. Atak na operatora wodociągów nie był przedstawiany jako odosobnione zdarzenie, lecz jako element szerszej aktywności wymierzonej w meksykańskie podmioty publiczne i infrastrukturalne. To sugeruje, że napastnicy testują lub rozwijają metody, które można przenosić pomiędzy różnymi organizacjami i sektorami.

Historycznie dyskusja o zagrożeniach dla OT koncentrowała się na phishingu, kradzieży poświadczeń, ruchu bocznym oraz nadużyciu zdalnego dostępu. Nowością jest aktywne wykorzystanie modeli LLM do wspierania decyzji operacyjnych i generowania artefaktów używanych podczas intruzji. To przesuwa debatę z pytania o to, czy AI będzie wykorzystywana przez napastników, do pytania o to, jak bardzo zmienia ona tempo i dostępność takich operacji.

Analiza techniczna

Z opisu incydentu wynika, że modele LLM zostały użyte w kilku kluczowych obszarach. Pierwszym był rekonesans i zrozumienie środowiska ofiary. Model miał pomagać w analizie dokumentacji dostawców, interpretacji elementów związanych ze środowiskiem SCADA oraz identyfikacji zasobów istotnych z punktu widzenia dostępu do OT.

To ważne, ponieważ intruz działający początkowo w sieci IT nie zawsze potrafi szybko rozpoznać, które hosty, usługi, katalogi lub dokumenty wskazują na obecność systemów przemysłowych. LLM może tu pełnić rolę asystenta analitycznego, który skraca czas potrzebny na interpretację znalezionych artefaktów.

Drugim obszarem było tworzenie i udoskonalanie narzędzi ofensywnych. Analizowane artefakty miały obejmować znaczną liczbę złośliwych skryptów wygenerowanych lub rozwijanych przy wsparciu AI. W praktyce oznacza to możliwość szybszego pisania kodu, modyfikowania payloadów i iteracyjnego dostosowywania logiki działania do reakcji środowiska ofiary.

Trzecie zastosowanie dotyczyło analizy operacyjnej i przetwarzania zebranych danych. Modele mogły wspierać porządkowanie wyników rekonesansu, generowanie treści w języku hiszpańskim oraz planowanie kolejnych kroków intruzji. Taki mechanizm redukuje ilość pracy ręcznej i pozwala prowadzić kampanię w sposób bardziej uporządkowany.

Szczególnie niepokojącym elementem była pomoc AI w identyfikacji domyślnych i znanych danych logowania, które mogły zostać wykorzystane w próbach uzyskania dostępu do systemów. W środowiskach OT, gdzie nadal występują przestarzałe urządzenia, słabo zarządzane konta i ograniczona segmentacja, taka funkcja może wyraźnie zwiększać skuteczność działań napastnika.

  • rekonesans środowiska IT i OT,
  • analiza dokumentacji technicznej i artefaktów SCADA,
  • tworzenie oraz modyfikacja skryptów ofensywnych,
  • przetwarzanie danych z rozpoznania i planowanie kolejnych kroków,
  • wsparcie w identyfikacji poświadczeń i potencjalnych punktów wejścia.

Na poziomie taktycznym przypadek ten potwierdza również, że napastnicy nie muszą posiadać pełnej wiedzy o ICS na początku operacji. Jeśli model potrafi pomóc w interpretacji nazw hostów, interfejsów HMI, komponentów SCADA czy schematów zdalnego dostępu, to bariera kompetencyjna wejścia w obszar OT istotnie maleje.

Konsekwencje / ryzyko

Najważniejszą konsekwencją nie jest sam fakt wygenerowania złośliwego kodu, lecz możliwość szybszego przejścia od kompromitacji środowiska IT do celowania w zasoby OT. W sektorze wodociągów i kanalizacji potencjalne skutki takiego scenariusza obejmują zakłócenie procesów uzdatniania, dystrybucji, monitoringu oraz utratę widoczności operacyjnej.

Z punktu widzenia obrony AI działa tutaj jako mnożnik efektywności. Atakujący szybciej analizuje środowisko, sprawniej przygotowuje skrypty, skuteczniej interpretuje dane i łatwiej adaptuje techniki do reakcji systemów bezpieczeństwa. To zwiększa tempo operacji i skraca czas dostępny na detekcję oraz reakcję.

Ryzyko strategiczne rośnie szczególnie tam, gdzie organizacja ma ograniczoną widoczność w OT. Jeśli monitoring obejmuje głównie sieć korporacyjną, a środowisko przemysłowe funkcjonuje przy niskim poziomie telemetrii, moment przejścia intruza z warstwy IT do operacyjnej może zostać przeoczony.

  • większa skuteczność rekonesansu i ruchu bocznego,
  • skrócenie czasu potrzebnego do przygotowania ataku,
  • obniżenie progu wejścia dla mniej doświadczonych napastników,
  • wzrost ryzyka dla ciągłości działania usług publicznych,
  • trudniejsza analiza incydentu przy niskiej widoczności w OT.

Rekomendacje

Organizacje odpowiedzialne za infrastrukturę krytyczną powinny potraktować ten przypadek jako sygnał do rewizji modelu ochrony na styku IT i OT. Priorytetem pozostaje ograniczenie możliwości niekontrolowanego przejścia z sieci biurowej do przemysłowej poprzez ścisłą segmentację, kontrolę przepływów oraz egzekwowanie zasady najmniejszych uprawnień.

Drugim filarem powinna być pełna inwentaryzacja zasobów OT, obejmująca stacje inżynierskie, serwery SCADA, interfejsy HMI, systemy zdalnego dostępu i połączenia z dostawcami. Bez rzetelnej wiedzy o tym, jakie systemy faktycznie istnieją i które z nich są osiągalne z IT, skuteczna detekcja pozostaje ograniczona.

Równie ważny jest monitoring. Warto wdrażać telemetrię pozwalającą wykrywać nietypowy rekonesans, enumerację udziałów sieciowych, próby użycia domyślnych poświadczeń, nietypowy dostęp do dokumentacji technicznej oraz anomalie w zdalnym dostępie do urządzeń przemysłowych.

Istotny pozostaje także przegląd zarządzania poświadczeniami. W środowiskach przemysłowych należy eliminować konta współdzielone, domyślne hasła, niezmienione dane serwisowe oraz nadmierne uprawnienia partnerów zewnętrznych. Tam, gdzie to możliwe, należy wdrażać MFA, sejfy haseł uprzywilejowanych i rotację poświadczeń po pracach serwisowych.

  • wdrożenie ścisłej segmentacji między IT i OT,
  • pełna inwentaryzacja aktywów przemysłowych,
  • monitoring anomalii wskazujących na zainteresowanie zasobami OT,
  • usunięcie domyślnych i współdzielonych poświadczeń,
  • kontrola i rejestrowanie zdalnego dostępu,
  • ćwiczenia SOC, IR i zespołów OT dla scenariuszy z użyciem AI przez intruza.

Podsumowanie

Incydent dotyczący operatora wodociągów w Meksyku pokazuje, że modele LLM stają się praktycznym narzędziem wspierającym operacje ofensywne przeciwko infrastrukturze krytycznej. Największym problemem nie jest wyłącznie automatyzacja tworzenia skryptów, ale zdolność AI do przyspieszania rekonesansu, interpretacji środowiska OT oraz budowania ścieżki dostępu z sieci IT do systemów przemysłowych.

Dla obrońców oznacza to konieczność zwiększenia widoczności w OT, szybszego wykrywania działań przygotowawczych oraz zaostrzenia kontroli dostępu zdalnego. Ataki wspierane przez AI nie zastępują klasycznych technik intruzji, ale sprawiają, że stają się one szybsze, tańsze i bardziej dostępne dla szerszego grona napastników.

Źródła

  1. Infosecurity Magazine — OpenAI and Anthropic LLMs Used in Critical Infrastructure Cyber-Attack, Warns Dragos — https://www.infosecurity-magazine.com/news/llm-critical-infrastructure/
  2. Dragos — OT Threat Landscape 2026: What Defenders Need to Know — https://www.dragos.com/blog/ot-threat-landscape-2026
  3. Dragos — Dragos 2026 OT Cybersecurity Report Year in Review — https://hub.dragos.com/hubfs/2026_YIR_ExecutiveBriefing%20O_G.pdf?hsLang=en
  4. SecurityWeek — Claude AI Guided Hackers Toward OT Assets During Water Utility Intrusion — https://www.securityweek.com/claude-ai-guided-hackers-toward-ot-assets-during-water-utility-intrusion/amp/
  5. Cyber Risk Leaders — Dragos report outlines early AI-assisted targeting of OT during IT intrusion — https://cyberriskleaders.com/dragos-report-outlines-early-ai-assisted-targeting-of-ot-during-it-intrusion/