){kind=small}
)
Em 28 de novembro de 2025, especialistas da Equipe de Pesquisa de Ameaças da Sysdig documentaram um ataque cibernético que redefine a velocidade das invasões digitais. Um invasor conseguiu assumir controle total do ambiente de nuvem de uma empresa em apenas oito minutos, um tempo recorde que contrasta drasticamente com ataques tradicionais que levam dias ou semanas.
Nossos vídeos em destaque
Ao TecMundo, a Amazon explica que o relatório descreve uma conta comprometida por meio de buckets S3 mal configurados, e pede que os usuários sigam algumas recomendações. O posicionamento na íntegra pode ser lido ao final da matéria.
Tudo começou com um erro básico de segurança: credenciais de teste foram deixadas expostas em um bucket S3 público. Buckets S3 são espaços de armazenamento na Amazon Web Services (AWS), funcionando como discos rígidos virtuais na nuvem.
Quando um bucket é configurado como público, qualquer pessoa na internet pode acessá-lo. Os pesquisadores notaram que esses buckets tinham até "IA" em seus nomes, tornando-os alvos fáceis para quem procurava dados para roubar.
As credenciais roubadas tinham permissões de somente leitura, mas isso foi suficiente para o invasor realizar uma missão de reconhecimento completa. Ele examinou serviços como Secrets Manager, onde ficam armazenadas senhas e chaves criptográficas, RDS (bancos de dados na nuvem) e CloudWatch (sistema de monitoramento). Essencialmente, o invasor mapeou toda a infraestrutura antes de agir.
Escalação relâmpago com injeção de código
A próxima etapa foi a escalação de privilégios através de injeção de código em funções Lambda. Lambda são pequenos programas que executam tarefas automaticamente quando determinados eventos acontecem.
O invasor injetou código malicioso nessas funções, editando repetidamente uma função chamada EC2-init até conseguir comprometer uma conta administrativa chamada "frick". Com essa conta, obteve privilégios totais sobre o ambiente.
IA como arma cibernética
O que torna este ataque revolucionário é a forte evidência de uso de Inteligência Artificial. A velocidade e o estilo do código sugerem que o hacker usou Modelos de Linguagem Grande (LLMs) para automatizar o trabalho. O código continha comentários em sérvio e foi digitado tão rapidamente que seria humanamente impossível fazê-lo manualmente.
Além disso, os pesquisadores encontraram "alucinações de IA" no código — erros característicos que esses modelos cometem, como IDs de contas AWS fictícias ("123456789012") e referências a repositórios GitHub inexistentes. São marcas digitais que a IA deixa quando tenta preencher lacunas de informação.
LLMjacking: roubando poder computacional
O ataque não se limitou ao roubo de dados. O invasor praticou LLMjacking, usando os recursos de computação da vítima para executar modelos de IA caros como Claude 3.5 Sonnet, DeepSeek R1 e Amazon Titan.
Ele tentou até lançar uma máquina virtual gigantesca chamada "stevan-gpu-monster" para treinar sua própria IA, o que teria custado à empresa mais de £18.000 por mês.
Para evitar detecção, o invasor usou um rotador de IP que alternava constantemente seu endereço digital, passando por 19 identidades diferentes. A conta comprometida era uma "conta secundária" dentro de uma organização maior, e o hacker tentou movimento lateral, pulando para outras contas ao explorar uma função padrão chamada OrganizationAccountAccessRole.
Para evitar ataques semelhantes, especialistas recomendam nunca deixar chaves de acesso em áreas públicas, usar perfis de acesso temporários (IAM roles) e monitorar enumerações massivas — quando um usuário tenta listar repentinamente todos os recursos de uma conta, comportamento típico da fase de reconhecimento.
O que diz a AWS
Em comunicado, a empresa afirmou que “Os serviços e a infraestrutura da AWS não foram afetados por esse problema e operaram conforme o esperado durante todo o incidente descrito.”
A AWS explica que o relatório descreve uma conta comprometida por meio de buckets S3 mal configurados, e pede que os usuários sigam algumas recomendações.
"Nunca abrir acesso público a buckets S3 ou qualquer serviço de armazenamento, acesso com privilégios mínimos, gerenciamento seguro de credenciais e ativação de serviços de monitoramento como o GuardDuty, para reduzir os riscos de atividades não autorizadas”, aconselha a companhia.
Além disso, a AWS pede que “os clientes que suspeitarem ou tomarem conhecimento de atividades maliciosas em suas contas da AWS devem seguir as orientações para corrigir credenciais potencialmente comprometidas ou entrar em contato com o Suporte da AWS para obter assistência.”
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
