0
0
Operação “TrueChaos” explorou falha crítica em software de colaboração utilizado por entidades governamentais, permitindo a distribuição silenciosa de malware sem phishing ou exploração externa
A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), líder global em soluções de cibersegurança, anuncia que a sua equipa Check Point Research (CPR) identificou uma campanha avançada de ciberespionagem, denominada “Operation TrueChaos”, que explora uma vulnerabilidade zero-day num software de videoconferência amplamente utilizado por governos e organizações de infraestruturas críticas.
A investigação revela uma falha crítica, identificada como CVE-2026-3502, com uma classificação CVSS de 7,8, que permitiu a atacantes comprometer o mecanismo de atualização de software de uma plataforma de colaboração confiável, transformando-o num canal de distribuição de malware altamente eficaz e praticamente invisível.
Uma nova geração de ataques: quando a confiança se torna vulnerabilidade
Ao contrário dos ataques tradicionais, que dependem de phishing, credenciais roubadas ou exploração de sistemas expostos à internet, a Operation TrueChaos destacou-se por explorar relações de confiança internas dentro de ambientes considerados seguros.
Os atacantes comprometeram um servidor on-premises central utilizado por uma entidade governamental e substituíram uma atualização legítima do software por uma versão maliciosa. A partir desse momento, todos os sistemas ligados a esse servidor passaram a receber automaticamente o ficheiro comprometido, acreditando tratar-se de uma atualização legítima.
Este método permitiu uma propagação em larga escala, sem gerar alertas de segurança, sem downloads suspeitos e sem necessidade de interação adicional por parte dos utilizadores.
Como funciona o ataque: da atualização legítima ao controlo total
A vulnerabilidade reside na forma como o cliente do software valida as atualizações provenientes de servidores internos. A análise da Check Point Research revelou que o processo não assegurava de forma robusta a integridade e autenticidade dos ficheiros.
Na prática, isto significa que:
· Qualquer ficheiro executável colocado no servidor podia ser apresentado como atualização legítima
· cliente descarregava e executava automaticamente esse ficheiro
· malware herdava o nível de confiança da aplicação empresarial
Uma vez instalado, o código malicioso permitia aos atacantes realizar reconhecimento, escalar privilégios, garantir persistência e comunicar com infraestruturas de comando e controlo, tudo sem levantar suspeitas.
Campanha direcionada a entidades governamentais
A investigação identificou que os ataques ocorreram no terreno contra entidades governamentais no Sudeste Asiático, recorrendo a uma infraestrutura centralizada de IT que servia múltiplas agências.
Os indicadores técnicos, incluindo ferramentas utilizadas, padrões de ataque e infraestrutura de comando e controlo, apontam com confiança moderada para um ator de ameaça com ligações à China, sugerindo um claro objetivo de ciberespionagem e recolha de informação estratégica.
Entre as ferramentas utilizadas destaca-se o framework Havoc, frequentemente associado a operações avançadas de pós-exploração.
Implicações para a indústria: o fim da confiança implícita
A Operation TrueChaos evidencia uma mudança estrutural no panorama de ameaças:
· Ferramentas internas e “confiáveis” podem ser exploradas em larga escala
· Ambientes on-premises e isolados não são imunes a ataques avançados
· Mecanismos de atualização de software tornaram-se alvos prioritários
· Vulnerabilidades zero-day permitem ataques do tipo supply chain sem comprometer terceiros
Este caso demonstra que a segurança já não pode basear-se apenas na defesa do perímetro. A confiança implícita em sistemas internos tornou-se um dos principais vetores de risco.
Segundo Sergey Shykevich, Threat Intelligence Group Manager da Check Point Software: “Esta investigação demonstra de forma clara que a confiança se tornou, ela própria, uma superfície de ataque. Na Operation TrueChaos, os atacantes não forçaram a entrada, foram efetivamente ‘convidados’ através de um mecanismo de atualização legítimo. Para governos e empresas, a mensagem é inequívoca: os princípios de zero trust devem estender-se a todos os sistemas, incluindo aqueles que sempre considerámos seguros.”
Mitigação e recomendações
A vulnerabilidade foi comunicada de forma responsável ao fornecedor, que já disponibilizou uma correção incluída na versão 8.5.3 do cliente afetado.
A Check Point recomenda às organizações:
· Atualizar imediatamente os sistemas afetados
· Monitorizar canais internos de atualização de software
· Reforçar o controlo de acessos a servidores críticos
· Implementar princípios de zero trust em toda a infraestrutura
· Monitorizar comportamentos anómalos em aplicações internas
Compromisso contínuo com a proteção contra ameaças avançadas
A Check Point Software continua a investir na investigação de ameaças emergentes e no desenvolvimento de soluções que permitam às organizações antecipar e mitigar ataques cada vez mais sofisticados.
A Platform Infinity, alimentada por inteligência artificial, permite proteger redes, cloud e endpoints de forma integrada, garantindo visibilidade total e resposta rápida a incidentes, mesmo em cenários onde a confiança é explorada como vetor de ataque.