Cloudflare تتحول إلى منصة خفية لعمليات التجسس السيبراني

تشغّل Cloudflare منصة عالمية ضخمة تقدم خدمات مثل التخزين السحابي، والحوسبة بدون خوادم (serverless)، واستضافة المواقع، والأنفاق الشبكية. هذه الميزات مفيدة للمطورين والشركات، لكنها تمنح المهاجمين أيضاً أدوات قوية لإخفاء بنيتهم التحتية.

تشير تقارير أمنية إلى أن عدداً من خدمات Cloudflare يظهر بشكل متكرر في الحملات الخبيثة لأن حركة المرور عبرها تختلط بسهولة مع النشاط السحابي الطبيعي.

Cloudflare R2: قناة خفية لتسريب البيانات

خدمة Cloudflare R2 هي منصة تخزين كائني تشبه خدمة Amazon S3. ويمكن للمهاجمين استغلالها من أجل:

• رفع أرشيفات البيانات المسروقة من الشبكات المخترقة
• تخزين حمولة البرمجيات الخبيثة
• توزيع الملفات عبر نطاقات موثوقة مرتبطة بـCloudflare

في حادثة ماليزيا، لاحظ الباحثون سكربتاً صُمم خصيصاً لرفع البيانات المسروقة إلى تخزين مستضاف على Cloudflare.

Cloudflare Pages: استضافة صفحات التصيد

تسمح Cloudflare Pages باستضافة مواقع ثابتة بسرعة. ويستغلها المهاجمون لإنشاء بوابات تصيد أو صفحات تنزيل مستندات مزيفة تبدو كمواقع شرعية مستضافة على بنية Cloudflare الموثوقة.

Cloudflare Workers: وسيط للتحكم عن بعد

تتيح Workers تشغيل كود بدون خوادم على حافة شبكة Cloudflare. ويمكن استخدامها من قبل المهاجمين لـ:

• إعادة توجيه الضحايا إلى صفحات تصيد
• تمرير حركة القيادة والتحكم (C2)
• توجيه الاتصالات الخبيثة بشكل ديناميكي

وقد وثّق باحثون حالات تشغيل بنية تحكم لبرمجيات Remote Access Trojan عبر حسابات Cloudflare Workers، ما يعني أن قنوات التحكم يمكن أن تعمل بالكامل داخل خدمة سحابية شرعية.

Cloudflare Tunnel: إخفاء الخوادم الحقيقية

تسمح Cloudflare Tunnel بنشر خوادم داخلية على الإنترنت دون كشف عنوان IP الحقيقي لها. وهذا يمكّن المهاجمين من إخفاء البنية التحتية خلف شبكة Cloudflare أثناء تقديم البرمجيات الخبيثة أو إدارة الهجمات.

وقد استُخدمت نطاقات فرعية لهذه الخدمة بالفعل في حملات برمجيات خبيثة استضافت حمولات يتم تنزيلها عبر رسائل تصيد إلكتروني وسلاسل إصابة مؤتمتة.

نمط أوسع في التجسس السيبراني بجنوب شرق آسيا

الحادثة الماليزية ليست حالة منفردة، بل جزء من نمط إقليمي أوسع. فمجموعات التجسس السيبراني التي تستهدف دول جنوب شرق آسيا تعتمد بشكل متزايد على منصات سحابية شرعية لإخفاء عملياتها.

ويرجع ذلك جزئياً إلى توسع البنية الرقمية في ماليزيا، خاصة في قطاعات مثل الاتصالات والنقل والطاقة، ما يزيد من أهميتها الاستراتيجية كمصدر للمعلومات الاستخباراتية ويزيد أيضاً من مساحة الهجوم المتاحة للمهاجمين.

عدة مجموعات تهديد متقدمة (APT) تنشط في المنطقة وتستخدم أساليب مشابهة.

Mustang Panda

تُعد مجموعة Mustang Panda جهة تجسس سيبراني مرتبطة بالصين وتنشط منذ عام 2012 على الأقل. وغالباً ما تستهدف الحكومات والمنظمات الدبلوماسية باستخدام رسائل تصيد ووثائق طُعم مخصصة.

APT41

مجموعة APT41 تُقيَّم على نطاق واسع بأنها جهة تهديد مدعومة من الدولة الصينية وتشارك في حملات تجسس عبر صناعات ودول متعددة، مستخدمة مجموعة واسعة من الأدوات والبرمجيات الخبيثة للحفاظ على وصول طويل الأمد إلى الشبكات المستهدفة.

Amaranth‑Dragon

حملات أحدث في جنوب شرق آسيا نُسبت إلى مجموعة تُعرف باسم Amaranth‑Dragon، ويعتقد الباحثون أنها مرتبطة بشكل وثيق بمنظومة APT41. وقد استهدفت وكالات حكومية وأجهزة إنفاذ القانون في عدة دول ضمن رابطة دول جنوب شرق آسيا (آسيان).

ورغم أن النشاط المرتبط بـCloudflare في حادثة ماليزيا لم يُنسب علناً إلى مجموعة محددة، فإن نمط التشغيل — مثل الأدوات المخصصة، والتركيز الإقليمي، والبنية التحتية المخفية — يتوافق مع الأساليب التي تستخدمها مجموعات التجسس المدعومة من دول.

لماذا يصعب اكتشاف هذه الهجمات؟

التحدي الأكبر للمدافعين هو أن حركة المرور تبدو طبيعية تماماً.

طلب شبكة إلى تخزين Cloudflare أو نقطة تشغيل serverless يبدو مماثلاً لأي اتصال ويب مشفّر عادي. وغالباً لا تستطيع المؤسسات حظر الخدمة بالكامل لأن العديد من تطبيقاتها تعتمد عليها.

لهذا السبب يتجه الدفاع السيبراني اليوم إلى الكشف السلوكي بدلاً من الاعتماد على سمعة النطاقات فقط.

ومن المؤشرات التي قد تدل على نشاط مشبوه:

• عمليات رفع غير متوقعة إلى نقاط تخزين Cloudflare
• الاتصال بنطاقات Cloudflare فرعية جديدة لم تُرصد سابقاً
• طلبات HTTPS كبيرة الحجم بعد إنشاء أرشيفات للملفات
• أنظمة داخلية لا تستخدم الإنترنت عادة تبدأ فجأة بالاتصال بخدمات سحابية
• ارتباط حركة المرور السحابية مع مؤشرات مثل استخراج كلمات المرور أو الوصول إلى قواعد البيانات أو نشاط إداري عن بُعد

الدرس الأمني الأهم

تكشف حملة التجسس المرتبطة بماليزيا تحولاً مهماً في استراتيجية البنية التحتية للمهاجمين. بدلاً من تشغيل خوادم واضحة الشبهة، باتت الجهات المهاجمة تعمل داخل الأنظمة السحابية الموثوقة نفسها.

بالنسبة للمدافعين، يعني ذلك أن أدوات الأمن يجب أن تتطور من الاعتماد على قوائم السماح وسمعة النطاقات إلى مراقبة أعمق للهوية والسلوك وحركة البيانات داخل الخدمات السحابية.

عندما يختبئ المهاجم داخل منصة عالمية موثوقة، يصبح السؤال الأمني الأهم ليس "إلى أين تذهب حركة المرور؟" بل "كيف تتصرف تلك الحركة؟".