Hackers usam IA e invadem ambiente AWS em menos de 10 minutos

Um hacker conseguiu comprometer um ambiente de nuvem da Amazon Web Services (AWS) e alcançar privilégios administrativos em menos de dez minutos, utilizando automação baseada em inteligência artificial para acelerar praticamente todas as etapas do ataque. O caso foi identificado em 28 de novembro pelo time de pesquisa de ameaças da Sysdig, que destacou não apenas a velocidade da intrusão, mas também múltiplos indícios de uso de modelos de linguagem de grande escala (LLMs) ao longo da cadeia ofensiva.

Segundo os pesquisadores Michael Clark e Alessandro Brucato, o invasor partiu do acesso inicial até a escalada de privilégios administrativos em um intervalo extremamente curto, comprometendo 19 identidades distintas da AWS. Durante a ação, foram abusados tanto recursos de computação com GPU quanto modelos hospedados no Amazon Bedrock, em uma técnica conhecida como LLMjacking, na qual contas em nuvem comprometidas são utilizadas para consumir serviços de IA de alto custo.

A intrusão teve início a partir do roubo de credenciais válidas armazenadas de forma indevida em buckets públicos do Amazon S3. Essas credenciais pertenciam a um usuário de IAM com permissões de leitura e escrita em funções Lambda e acesso restrito ao Bedrock. No mesmo bucket, também havia dados de Retrieval-Augmented Generation (RAG), posteriormente explorados para dar suporte às ações maliciosas.

Após tentativas iniciais fracassadas de acessar contas com nomes comuns de administradores, o invasor conseguiu escalar privilégios por meio de injeção de código em funções AWS Lambda. Explorando permissões de atualização de código e configuração, o atacante substituiu repetidamente o código de uma função existente até comprometer uma conta com privilégios administrativos reais. O código malicioso listava usuários IAM, criava novas chaves de acesso, enumerava buckets S3 e coletava grandes volumes de informações sensíveis.

Os pesquisadores observaram que o código apresentava características típicas de geração automatizada por LLMs, como comentários em sérvio, tratamento extensivo de exceções, referências a IDs de contas inexistentes e até menções a repositórios do GitHub que não existem. Esse comportamento, segundo a análise, é compatível com “alucinações” de modelos de linguagem, reforçando a hipótese de uso intensivo de IA durante o ataque.

Com acesso administrativo, o invasor extraiu segredos do Secrets Manager, parâmetros do Systems Manager, logs do CloudWatch, código-fonte de funções Lambda, dados internos armazenados no S3 e eventos do CloudTrail. Em seguida, passou a abusar do acesso ao Bedrock para invocar diversos modelos de IA e direcionou esforços ao uso de instâncias EC2 voltadas para aprendizado de máquina, chegando a expor um servidor JupyterLab publicamente como possível backdoor.

Embora o objetivo final do ataque não tenha sido confirmado, os pesquisadores alertam que o caso ilustra uma tendência crescente: a utilização de inteligência artificial para automatizar ataques complexos em larga escala. Como medidas defensivas, são reforçadas boas práticas de gestão de identidades, como o princípio do menor privilégio, restrições rigorosas em permissões de Lambda, proteção de buckets S3 e monitoramento detalhado do uso de modelos de IA na nuvem.