How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espionAttackers increasingly hide phishing, malware delivery, and command‑and‑control infrastructure inside trusted cloud platforms.
موجّه الذكاء الاصطناعي
Create a landscape editorial hero image for this Studio Global article: How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espion. Article summary: Government-backed or government-aligned hackers are abusing Cloudflare because its services provide cheap, reputable, TLS-protected infrastructure that often looks like normal business web traffic. In the Malaysia-focuse. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Russian state hackers abuse Cloudflare services to spy on Ukrainian targets. A Russian state-sponsored hacker group, known as Gamaredon, has been targeting Ukrainian-speaking vic" source context "Russian state hackers abuse Cloudflare services to spy on ..." Reference image 2: visual subject "**Help
openai.com
أصبحت حملات التجسس الإلكتروني الحديثة أكثر قدرة على التخفي، ليس عبر خوادم مشبوهة، بل داخل نفس المنصات السحابية التي تستخدمها الشركات يومياً.
تشير أبحاث أمنية حديثة إلى أن مهاجمين استهدفوا عدداً من المنظمات في ماليزيا مستخدمين بنية تحتية سحابية موثوقة لإخفاء نشاطهم. وقد استغلوا أدوات من منصة Cloudflare مثل R2 وWorkers وPages وTunnels لإنشاء مواقع تصيد، تخزين برمجيات خبيثة، ونقل بيانات مسروقة عبر حركة مرور تبدو طبيعية تماماً.
هذا الأسلوب يجعل اكتشاف الهجمات أكثر صعوبة، لأن كثيراً من المؤسسات لا تستطيع ببساطة حظر خدمات سحابية كبرى دون التأثير على أعمالها اليومية.
حملة ماليزيا: بنية خفية وأدوات مخصصة
كشف الباحثون عن حملة اختراق موجّهة استهدفت عدة مؤسسات ماليزية، حيث اعتمد المهاجمون على بنية تحتية مستضافة على Microsoft Azure في منطقة Malaysia West.
العملية لم تكن عشوائية، بل تضمنت أدوات مخصصة لكل هدف، مكتوبة بلغة Python، لتنفيذ مهام مثل:
استكشاف الشبكات الداخلية
الوصول إلى قواعد البيانات
استخراج البيانات الحساسة
كما أظهرت التحقيقات أن المهاجمين أنشأوا بيئة هجومية مرنة تضم أدوات متعددة لجمع المعلومات ونقل الملفات المسروقة إلى خارج الشبكات المخترقة.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
وفي أجزاء من سلسلة الهجوم، استُخدمت خدمات Cloudflare لإخفاء البنية الخلفية للهجوم، مما يجعل حركة البيانات تبدو كأنها مجرد اتصالات سحابية عادية.
كيف يتم استغلال خدمات Cloudflare
توفر Cloudflare أدوات قوية للمطورين، لكنها يمكن أن تتحول أيضاً إلى أدوات مفيدة للمهاجمين إذا أسيء استخدامها.
R2: استضافة ملفات التصيد والبرمجيات الخبيثة
خدمة Cloudflare R2 هي نظام تخزين كائنات سحابي يمكنه استضافة ملفات أو مواقع ثابتة. وقد استغلها المهاجمون لتخزين صفحات التصيد والبرمجيات الخبيثة بحيث تبدو عمليات التنزيل وكأنها قادمة من نطاق سحابي موثوق.
وسجل الباحثون زيادة بمقدار 61 مرة في حركة المرور إلى صفحات تصيد مستضافة على R2 خلال فترة ستة أشهر، ما يعكس سرعة تبني المهاجمين لهذه المنصة.
الاستخدامات الشائعة تشمل:
صفحات سرقة بيانات تسجيل الدخول التي تقلد بوابات Microsoft أو الخدمات السحابية
تخزين ملفات ضارة أو أدوات تحميل malware
نقطة انطلاق لتنزيل مرحلة ثانية من البرمجيات الخبيثة
Cloudflare Pages: مواقع تصيد تبدو شرعية
تتيح خدمة Cloudflare Pages استضافة مواقع ثابتة عبر شبكة عالمية. يستغلها المهاجمون لإنشاء بوابات تسجيل دخول مزيفة تبدو وكأنها مواقع شرعية تعمل عبر بنية Cloudflare.
وبما أن العديد من المؤسسات تثق في البنية التحتية لـ Cloudflare، فإن حظر هذه النطاقات قد يعطل خدمات مشروعة أيضاً.
Workers: خوادم تحكم خفية بدون خوادم
تسمح Cloudflare Workers بتشغيل كود JavaScript على أطراف شبكة Cloudflare. ويمكن للمهاجمين استغلالها لإنشاء بنية تحكم مرنة مثل:
إعادة توجيه الضحايا إلى صفحات تصيد
إنشاء وكيل عكسي لاعتراض بيانات تسجيل الدخول
تشغيل خوادم تحكم وسيطرة خفيفة (C2)
كما أظهرت أبحاث أمنية أن Workers يمكن استخدامها في التصيد الشفاف، حيث تعمل كوسيط بين الضحية والموقع الحقيقي وتلتقط بيانات الدخول دون أن يلاحظ المستخدم.
Cloudflare Tunnels: إخفاء البنية الخلفية للهجوم
تسمح Cloudflare Tunnel بنشر خدمات خلف جدار الحماية عبر شبكة Cloudflare دون الكشف عن الخادم الحقيقي.
استغل المهاجمون هذه الميزة من أجل:
توزيع البرمجيات الخبيثة عبر روابط في رسائل التصيد
استضافة الملفات الضارة خلف نطاقات Cloudflare
إخفاء خوادم التحكم والسيطرة من أدوات الفحص على الإنترنت
وقد وثقت تقارير أمنية حملات استخدمت Cloudflare Tunnel لنشر أحصنة طروادة للوصول عن بعد (RATs) مع إخفاء حركة الاتصال الضارة.
لماذا يصعب اكتشاف هذه الهجمات
تمنح البنية السحابية المهاجمين عدة مزايا في عمليات التجسس الإلكتروني.
أولاً، عندما تمر البيانات عبر منصات موثوقة مثل Cloudflare أو Azure، فإنها تبدو مشابهة لحركة المرور الطبيعية الخاصة بخدمات SaaS أو شبكات CDN، ما يجعل اكتشافها صعباً دون توليد إنذارات كاذبة كثيرة.
ثانياً، تسمح الخدمات العديمة الخوادم (Serverless) للمهاجمين بتغيير سلوك الهجوم بسرعة دون إدارة خوادم تقليدية. يمكن تحديث التعليمات البرمجية أو تغيير مسارات الهجوم فوراً.
ثالثاً، يمكن توزيع الهجوم عبر عدة مزودين سحابيين، مما يعقّد التحقيقات ومحاولات تحديد الجهة المسؤولة.
من يقف وراء الهجوم؟
التقارير العامة تشير إلى أن أسلوب الهجوم يتوافق مع تكتيكات تجسس سيبراني مرتبطة بجهات دولية، لكن تحديد الجهة المسؤولة بشكل قاطع ما زال غير ممكن.
بعض الباحثين يشيرون إلى تشابهات مع نشاط مجموعة APT41 المرتبطة بالصين، وهي مجموعة معروفة بحملات تجسس استهدفت قطاعات مثل الاتصالات والتكنولوجيا والرعاية الصحية في عدة دول منذ عام 2012.
كما أن هذه المجموعة استخدمت سابقاً بنية سحابية وخدمات CDN لإخفاء خوادم التحكم والسيطرة الخاصة بها.
مع ذلك، لا يوجد حتى الآن دليل علني يربط الهجوم في ماليزيا مباشرة بأي مجموعة محددة مثل APT41 أو Mustang Panda أو Amaranth‑Dragon.
لماذا أصبحت ماليزيا هدفاً مهماً
تشهد ماليزيا نمواً سريعاً في الاقتصاد الرقمي، ما يجعلها هدفاً جذاباً لعمليات التجسس السيبراني.
فقد بلغت الاستثمارات الرقمية المعتمدة في البلاد 163.6 مليار رينغيت في عام 2024، تلتها 87.4 مليار رينغيت في 2025 مدفوعة بتوسع قطاعات الذكاء الاصطناعي والبيانات الضخمة ومراكز البيانات والخدمات السحابية.
هذا النمو يخلق أهدافاً قيمة مثل:
بيانات الشركات والملكية الفكرية
بيانات اعتماد الخدمات السحابية
بنية مراكز البيانات وسلاسل التوريد التقنية
الأنظمة الرقمية المرتبطة بالحكومة
بالنسبة لجماعات التجسس، اختراق هذه القطاعات يمكن أن يوفر معلومات اقتصادية واستراتيجية مهمة.
اتجاه عالمي نحو استغلال البنية السحابية
القضية الماليزية تعكس تحولاً أوسع في عالم التجسس الإلكتروني: المهاجمون يتخلون تدريجياً عن الخوادم الضارة التقليدية ويتجهون إلى الاختباء داخل منصات سحابية موثوقة.
من خلال تشغيل أجزاء من الهجوم داخل خدمات مثل التخزين السحابي أو الحوسبة بدون خوادم أو شبكات CDN، يحصل المهاجمون على مزايا عديدة، منها:
الاستفادة من سمعة مزودي الخدمات السحابية
استخدام اتصالات مشفرة تبدو طبيعية
القدرة على توسيع البنية التحتية أو تغييرها بسرعة
وبالنسبة للمدافعين، يعني ذلك أن الاعتماد على حظر النطاقات أو السمعة وحدها لم يعد كافياً. فالكشف عن هذه العمليات يتطلب مراقبة السلوك غير الطبيعي للخدمات السحابية وتحليل تدفقات البيانات الخارجة من الشبكات.
باختصار، نفس الأدوات التي تدعم التطبيقات الحديثة أصبحت أيضاً جزءاً من البنية التحتية الجديدة للتجسس السيبراني.
Comments
0 comments