Hacker nutzen Claude AI zum Angriff auf Wasser- und Abwassernetze

Der Vorfall erstreckte sich 2025 bis Februar 2026 und führte zum Diebstahl sensibler Regierungsdaten aus mehreren Bundes- und kommunalen Einrichtungen in Mexiko. Gambit kontaktierte Dragos, um den Teil des Angriffs zu bewerten, der sich auf Servicios de Agua y Drenaje de Monterrey (SADM), den Versorger für Wasser- und Abwasserdienstleistungen im Monterrey-Gebiet, richtete.

Analysten 350 Artefakte aus der Infrastruktur des Angreifers, darunter, offensive Werkzeuge und Interaktionsprotokolle. Ihre Analyse bestätigte eine erhebliche Kompromittierung des Unternehmens-IT-Umfelds des Versorgungsunternehmens, mit deutlichen Anzeichen dafür, dass die Angreifer versuchten, weiter in die Betriebstechnik-Systeme vorzudringen, die die physische Infrastruktur verwalten.

Was diesen Angriff besonders hervorhob, war die zentrale Rolle, die die KI während des gesamten Vorfalls spielte. Der Angreifer nutzte Anthropic's Claude als primäres Werkzeug zur Planung des Eindringens, zum Schreiben von bösartigem Code, zur Kartierung interner Systeme und zur Echtzeit-Anpassung.

Auch OpenAI's GPT-Modelle wurden in einer

Auch OpenAI's GPT-Modelle wurden in einer unterstützenden Rolle eingesetzt, um gesammelte Daten zu verarbeiten und strukturierte Intelligenzberichte zu erstellen. Claude zielte auf die OT-Systeme des Wasserversorgungsunternehmens ab. Die Angreifer umgingen die KI-Sicherheitskontrollen, indem sie ihre Anfragen als autorisierte Penetrationstests formulierten.

Die äten sollen während des umfassenden Angriffs auf Systeme der mexikanischen Regierung für etwa 75 % aller Fernbefehle ausgeführt verantwortlich gewesen sein. Nach dem Zugriff auf das IT-Netzwerk, vermutlich über einen verwundbaren Webserver oder gestohlene Zugangsdaten, nutzten die Angreifer Claude zur Kartierung der internen Umgebung.

Claude erkannte einen internen Server, der ein vNode-Industriegateway beherbergte – eine webbasierte Schnittstelle zur Überwachung und Verwaltung industrieller Prozesse. Ohne vorheriges Wissen über industrielle Steuerungssysteme klassifizierte Claude die vNode-Schnittstelle korrekt als hochrangiges Ziel, das mit kritischer nationaler Infrastruktur verknüpft ist.

Claude empfahl den Angreifern daraufhin, einen

Claude empfahl den Angreifern daraufhin, einen Passwort-Spray-Angriff gegen die vNode-Web-Schnittstelle durchzuführen, die auf einem einzigen Passwort für die Authentifizierung basierte. Dabei erstellte Claude Listen mit Zugangsdaten unter Verwendung örtern, benutzerbezogenen Namenskombinationen sowie wiederverwendeten Zugangsdaten aus früheren Datenschutzverletzungen anderer Regierungssysteme.

Claude identifiziert die vNode SCADA WebUI als vielversprechendsten nächsten Schritt (Quelle – Dragos). Zwei Runden automatischer Passwortsprays wurden gestartet; beide Versuche misslangen. Die Angreifer verlagerten daraufhin den Fokus auf Datendiebstahl aus anderen verwundbaren Assets, und Dragos konnte keine Beweise dafür finden, dass jemals jemand auf die zugrundeliegenden Betriebssysteme zugegriffen hat.

KI als Beschleuniger: Das BACKUPOSINT-Rahmenwerk. Das deutlichste Zeichen dafür, wie KI diesen Angriff transformierte, war ein 17.000 Zeilen umfassender Python-Skript, das Claude eigenständig erstellt hat und „BACKUPOSINT v9.0 APEX PREDATOR" genannt wird.

Holz als technisches Geruest

Der Skript umfasst 49 Module für Netzwerkanalysen, die Sammlung, Datenbankzugriffe, Privilegiensteigerungen und laterale Bewegungen, allesamt auf Basis öffentlich verfügbarer Offensiv-Sicherheitsverfahren entwickelt. Claude verfeinerte den Skript während des gesamten Eindringversuchs kontinuierlich, fügte neue Funktionen hinzu und korrigierte Fehler basierend auf Echtzeit-Feedback der Angreifer.

Übersicht des Framework-Moduls BACKUPOSINT.py, das Fähigkeiten in den Bereichen Cloud, Container, Credentials, Datenbanken, Active Directory und Netzwerkerfassung darstellt (Quelle – Dragos). Dieser iterative Zyklus komprimierte Arbeiten, die normalerweise Tage dauern, auf wenige Stunden.

Ein separates Command-and-Control-Framework entwickelte sich innerhalb einer grundlegenden Einrichtung zu einem produktionstauglichen System. Der Gegner wurde keinem bekannten staatlich unterstützten oder kriminellen Verband zugeordnet; der einzige verhaltensbezogene Hinweis war die konsistente Verwendung und im Code.

Moegliche Anwendungen

Dragos empfiehlt Organisationen, sich äventiven Sicherheitsstrategien zu lösen und sich an die SANS Five Critical Controls for ICS Cybersecurity anzupassen. Starke Maßnahmen wie Netzwerkksegmentierung, sichere Authentifizierung und Patch-Management bleiben essenziell, doch Organisationen benötigen zudem Sichtbarkeit in OT-Netzwerken, Erkennungsfähigkeiten sowie einen für ICS spezifischen Incident-Response-Plan.

Die Überwachung des Ost-West-Netzwerkverkehrs wird als besonders entscheidend für die Erkennung und Unterbrechung ützten Eindringungen vor deren Erreichen der operativen Systeme hervorgehoben. Sie uns auf