Хакеры прячут кибершпионаж внутри сервисов Cloudflare
Исследователи обнаружили кампанию кибершпионажа против организаций в Малайзии, где злоумышленники используют сервисы Cloudflare для размещения фишинга, вредоносного ПО и каналов управления. R2, Workers, Pages и Tunnels позволяют атакующим маскировать вредоносную инфраструктуру под обычный облачный трафик.
How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espionAttackers increasingly hide phishing, malware delivery, and command‑and‑control infrastructure inside trusted cloud platforms.
Промпт ИИ
Create a landscape editorial hero image for this Studio Global article: How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espion. Article summary: Government-backed or government-aligned hackers are abusing Cloudflare because its services provide cheap, reputable, TLS-protected infrastructure that often looks like normal business web traffic. In the Malaysia-focuse. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Russian state hackers abuse Cloudflare services to spy on Ukrainian targets. A Russian state-sponsored hacker group, known as Gamaredon, has been targeting Ukrainian-speaking vic" source context "Russian state hackers abuse Cloudflare services to spy on ..." Reference image 2: visual subject "**Help
openai.com
Кампании кибершпионажа всё чаще прячутся буквально «на виду» — внутри тех же облачных платформ, которыми ежедневно пользуются компании.
Новое исследование в области кибербезопасности показывает, что злоумышленники, нацеленные на организации в Малайзии, используют комбинацию доверенной облачной инфраструктуры и serverless‑сервисов для проведения скрытых операций. Среди инструментов — сервисы Cloudflare R2, Workers, Pages и Tunnels, которые позволяют размещать фишинговые страницы, хранить вредоносные файлы и выводить украденные данные через инфраструктуру, практически не отличимую от обычного веб‑трафика.
Проблема для защитников в том, что крупные облачные платформы часто нельзя просто заблокировать: через них работают легитимные бизнес‑сервисы.
Кампания против Малайзии: скрытая инфраструктура и кастомные инструменты
Исследователи обнаружили целевую кампанию проникновения против нескольких организаций в Малайзии. Управляемая злоумышленниками инфраструктура размещалась в Microsoft Azure в регионе Malaysia West. В ходе операции использовались специально разработанные Python‑инструменты для разведки сети, доступа к базам данных и вывода информации за пределы сети жертвы.
Анализ показал, что атакующая среда была модульной и хорошо подготовленной. В неё входили:
специализированные скрипты для разведки сети и сбора внутренних данных
отдельная инфраструктура для длительного скрытого наблюдения
механизмы вывода украденных файлов из скомпрометированных сетей
Расследование показало, что облачные сервисы — включая инструменты Cloudflare — могли использоваться для сокрытия отдельных этапов атаки, позволяя вредоносному трафику сливаться с обычными облачными коммуникациями.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Каков краткий ответ на вопрос «Хакеры прячут кибершпионаж внутри сервисов Cloudflare»?
Исследователи обнаружили кампанию кибершпионажа против организаций в Малайзии, где злоумышленники используют сервисы Cloudflare для размещения фишинга, вредоносного ПО и каналов управления.
Какие ключевые моменты необходимо проверить в первую очередь?
Исследователи обнаружили кампанию кибершпионажа против организаций в Малайзии, где злоумышленники используют сервисы Cloudflare для размещения фишинга, вредоносного ПО и каналов управления. R2, Workers, Pages и Tunnels позволяют атакующим маскировать вредоносную инфраструктуру под обычный облачный трафик.
Что мне делать дальше на практике?
Эксперты считают, что подобные методы отражают растущую тенденцию: государственно‑поддерживаемые группы всё чаще используют доверенные облачные платформы для скрытых операций.
Платформа разработчика Cloudflare создавалась для легитимных веб‑приложений. Однако те же функции могут применяться и для построения скрытой инфраструктуры атак.
R2 Storage: размещение фишинга и вредоносных файлов
Cloudflare R2 — это сервис объектного хранения, который может использоваться для размещения файлов и статических сайтов. Злоумышленники используют его для хранения фишинговых страниц и вредоносных загрузчиков, потому что скачивание происходит с доверенного облачного домена.
Исследования ранее зафиксировали рост трафика к фишинговым страницам на Cloudflare R2 в 61 раз за шесть месяцев, что показывает, насколько быстро атакующие начали использовать эту платформу.
Типичные сценарии использования:
размещение страниц для кражи учётных данных, имитирующих вход в Microsoft или другие облачные сервисы
хранение вредоносных архивов или загрузчиков
использование как промежуточной точки для доставки второго этапа вредоносного ПО
Cloudflare Pages: фишинговые сайты с «легитимным» видом
Сервис Cloudflare Pages позволяет размещать статические сайты на глобальной инфраструктуре CDN. Злоумышленники используют его для создания правдоподобных фишинговых порталов.
Жертва видит страницу, обслуживаемую сетью Cloudflare, а не подозрительный домен атакующего — что снижает уровень подозрений.
Для организаций это усложняет защиту: массовая блокировка доменов Cloudflare может нарушить работу легитимных сервисов.
Cloudflare Workers: serverless‑каналы управления
Cloudflare Workers позволяют запускать JavaScript‑код на периферии сети Cloudflare. Атакующие используют это для создания гибкой инфраструктуры:
редиректоров, перенаправляющих жертв на фишинговые страницы
обратных прокси, перехватывающих логины и пароли
лёгких систем команд‑и‑управления (C2)
Исследования показывают, что Workers можно использовать для «прозрачного фишинга»: сервис работает как прокси к настоящей странице входа, а введённые пользователем учётные данные незаметно перехватываются злоумышленником.
Cloudflare Tunnels: скрытый доступ к вредоносной инфраструктуре
Cloudflare Tunnel позволяет публиковать сервисы за файрволом через сеть Cloudflare, не раскрывая реальный сервер.
Злоумышленники применяют эту функцию для:
доставки вредоносных файлов через ссылки в фишинговых письмах
размещения вредоносных загрузчиков на поддоменах Cloudflare
сокрытия серверов управления от интернет‑сканирования
В ряде кампаний таким образом распространялись трояны удалённого доступа (RAT), при этом вредоносный трафик выглядел как обычное соединение с Cloudflare.
Почему такие атаки трудно обнаружить
Использование облачной инфраструктуры даёт злоумышленникам несколько ключевых преимуществ.
Во‑первых, трафик через популярные платформы вроде Cloudflare или Azure выглядит как обычные соединения с SaaS‑сервисами или CDN. Это затрудняет обнаружение подозрительной активности без большого числа ложных срабатываний.
Во‑вторых, serverless‑сервисы позволяют быстро менять поведение инфраструктуры. Например, код в Workers может мгновенно изменить редиректы, обновить расположение вредоносных файлов или перенести инфраструктуру на другой аккаунт.
В‑третьих, злоумышленники могут распределять компоненты атаки между несколькими облачными провайдерами, что усложняет расследование и атрибуцию.
Возможные участники атак и проблема атрибуции
Публичные отчёты о кампании указывают на признаки государственно‑ориентированной кибершпионской деятельности, однако точная атрибуция остаётся неопределённой.
Некоторые аналитики отмечают сходство с операциями группы APT41, связанной с Китаем и известной кампаниями кибершпионажа против компаний из сфер здравоохранения, телекоммуникаций и высоких технологий.
APT41 и связанные с ней группы ранее использовали облачную инфраструктуру и CDN‑сервисы, включая Cloudflare, чтобы скрывать командные серверы и реальные IP‑адреса.
Тем не менее на данный момент нет подтверждённых доказательств, связывающих малайзийскую кампанию напрямую с APT41, Mustang Panda или Amaranth‑Dragon. В открытых источниках операция классифицируется как предполагаемая государственно‑ориентированная деятельность.
Почему Малайзия становится привлекательной целью
Малайзия активно развивает цифровую экономику и становится региональным технологическим центром — что одновременно повышает её ценность как цели для разведки.
Инвестиции в цифровой сектор достигли 163,6 млрд ринггитов в 2024 году и 87,4 млрд ринггитов в 2025 году, чему способствовало развитие искусственного интеллекта, больших данных, облачных сервисов и дата‑центров.
Это создаёт множество потенциально ценных целей для кибершпионажа, включая:
корпоративные облачные учётные записи
интеллектуальную собственность и программный код
инфраструктуру дата‑центров
государственные и окологосударственные цифровые системы
Для разведывательных групп компрометация компаний в этих секторах может предоставить как экономическую информацию, так и стратегические геополитические данные.
Глобальный тренд: атаки внутри доверенных облаков
Случай с Малайзией отражает более широкий тренд в современном кибершпионаже. Атакующие постепенно отказываются от очевидно вредоносных серверов и переходят к инфраструктуре доверенных облачных платформ.
Размещая элементы операций внутри легитимных сервисов — объектных хранилищ, serverless‑платформ и CDN‑сетей — злоумышленники получают несколько преимуществ:
репутацию доверенных облачных провайдеров
зашифрованный трафик, похожий на обычную веб‑активность
быстрое масштабирование и смену инфраструктуры
Для специалистов по безопасности это означает, что традиционной блокировки по репутации уже недостаточно. Всё чаще требуется поведенческий анализ, мониторинг необычного использования облачных сервисов и глубокий контроль исходящего трафика.
По мере развития облачных технологий те же инструменты, которые лежат в основе современных приложений, всё чаще становятся частью инфраструктуры современного кибершпионажа.
Comments
0 comments