Em 28 de novembro de 2025, a equipe de especialistas em ameaças da Sysdig descreveu um incidente de segurança digital. O caso revelou um ataque contra um ambiente de computação em nuvem da Amazon Web Services (AWS), concluído em um tempo surpreendentemente curto: apenas oito minutos. Além disso, esse período ficou muito abaixo da média de invasões desse tipo. Normalmente, ataques semelhantes se estendem por dias ou semanas.
- Leia também: Como converter PDF em Word no PC e online: entenda as melhores opções
- Leia também: Faz Pix pelo WhatsApp? 3 configurações obrigatórias para blindar seu celular de golpes
- Leia também: Pesquisadores encontram 175.000 servidores Ollama AI expostos publicamente em 130 países
Falha Inicial: Credenciais Expostas
O invasor encontrou a porta de entrada em um erro básico de configuração. Credenciais de teste permaneceram armazenadas em um bucket S3 público, acessível livremente a qualquer usuário da internet. Esses buckets de armazenamento na AWS funcionam como discos virtuais. Quando configurados como públicos, atraem atenção imediata. Nesse contexto, alguns deles ainda exibiam “IA” no nome. Isso aumentou o interesse de agentes mal-intencionados em busca de dados vulneráveis.
Mesmo com permissões restritas apenas à leitura, essas credenciais permitiram o mapeamento completo da infraestrutura da vítima. Para isso, o atacante explorou serviços como Secrets Manager, onde senhas e chaves são guardadas. Ele também acessou o RDS, voltado a bancos de dados, e o CloudWatch, usado para monitoramento. Assim, reuniu informações críticas antes de avançar.
Escalada de Acesso com Injeção de Código
Com o inventário da estrutura em mãos, o invasor passou à etapa seguinte. Nesse momento, ele elevou seus privilégios dentro da plataforma. Para isso, utilizou um método conhecido como injeção de código em funções AWS Lambda. Essas funções consistem em pequenos programas acionados automaticamente por eventos definidos no sistema.
De forma repetida, o invasor implantou o código malicioso em uma função chamada EC2-init. Com isso, conseguiu comprometer uma conta administrativa apelidada de “frick”. Essa ação garante controle total sobre o ambiente de nuvem.
Evidências do Uso de Inteligência Artificial
Investigadores que analisaram o ataque identificaram sinais claros do uso de Inteligência Artificial (IA) para acelerar o processo. O estilo e a velocidade da geração do código reforçam essa hipótese. Os padrões observados sugerem a utilização de grandes modelos de linguagem (LLMs), capazes de escrever trechos de programação automaticamente.
Além disso, algumas características do código revelaram o que especialistas chamam de “alucinações de IA”. Esses erros são típicos desses modelos. Entre eles, aparecem valores fictícios, como IDs genéricos de contas AWS no formato “123456789012”. Também surgiram referências a repositórios de código inexistentes no GitHub.
Roubo e Uso Indevido de Recursos em Nuvem
Além do acesso e do controle, o hacker executou uma técnica chamada LLMjacking. Nesse método, recursos da vítima são usados para treinar ou rodar modelos de IA externos sem autorização. Nesse caso, o invasor utilizou a infraestrutura comprometida para testar ferramentas como Claude 3.5 Sonnet, DeepSeek R1 e Amazon Titan.
Em seguida, ele tentou iniciar uma máquina virtual de grande capacidade chamada “stevan-gpu-monster”. Caso essa instância tivesse continuado ativa, poderia gerar custos superiores a £18.000 por mês para a empresa alvo.
Técnicas de Evasão e Movimentos Lateral
Para dificultar a descoberta do ataque, o criminoso utilizou um rotacionador de endereços IP. Dessa forma, passou por 19 identidades digitais diferentes, o que dificultou a rastreabilidade. Depois disso, ao comprometer a conta principal, ele tentou realizar o chamado movimento lateral. O objetivo era acessar outras contas internas. Para isso, explorou uma função padrão da AWS chamada OrganizationAccountAccessRole.
Recomendações para Prevenir Incidentes
Especialistas em segurança apontam algumas medidas que podem reduzir o risco de ataques semelhantes. Em primeiro lugar, nunca deixe chaves ou credenciais em áreas de acesso público. Além disso, utilize perfis temporários de acesso (IAM roles), que limitam privilégios e expiram com o tempo. Por fim, monitore tentativas massivas de enumeração de recursos. Esse comportamento costuma indicar o mapeamento ativo da infraestrutura em busca de falhas.
Fonte: The Hacker News —https://www.tecmundo.com.br/seguranca/410458-cibercriminoso-invade-ambiente-de-nuvem-aws-em-apenas-oito-minutos-com-ia.htm
