เมื่อโครงสร้างคลาวด์กลายเป็นที่ซ่อนตัว: แฮ็กเกอร์ใช้บริการ Cloudflare ทำจารกรรมไซเบอร์

ผู้โจมตีใช้บริการ Cloudflare อย่างไร

แพลตฟอร์มนักพัฒนาของ Cloudflare ถูกออกแบบมาเพื่อสร้างเว็บแอปที่รวดเร็วและกระจายทั่วโลก แต่ความสามารถเดียวกันนี้ก็สามารถถูกนำไปใช้ในทางที่ผิดได้

R2 Storage: โฮสต์หน้า phishing และมัลแวร์

Cloudflare R2 เป็นบริการ object storage ที่สามารถเก็บไฟล์หรือโฮสต์เว็บไซต์แบบ static ได้ ผู้โจมตีจึงใช้มันเป็นที่เก็บหน้า phishing หรือไฟล์มัลแวร์ เพราะไฟล์เหล่านี้ถูกดาวน์โหลดจากโดเมนคลาวด์ที่น่าเชื่อถือ

นักวิจัยด้านความปลอดภัยเคยพบว่าในช่วงเวลาเพียง 6 เดือน มีทราฟฟิกไปยังหน้า phishing ที่โฮสต์บน R2 เพิ่มขึ้นถึง 61 เท่า

ตัวอย่างการใช้งานที่พบ ได้แก่

• หน้าเว็บปลอมที่เลียนแบบหน้าล็อกอินของ Microsoft หรือบริการคลาวด์อื่น
• การเก็บไฟล์มัลแวร์หรือไฟล์ archive อันตราย
• ใช้เป็นจุด staging สำหรับมัลแวร์ระยะถัดไป

Cloudflare Pages: เว็บไซต์ฟิชชิงที่ดูเหมือนถูกต้อง

Cloudflare Pages ช่วยให้ผู้ใช้โฮสต์เว็บไซต์แบบ static บนโครงสร้าง CDN ทั่วโลกได้ง่าย ผู้โจมตีจึงสามารถสร้างหน้า phishing ที่ดูน่าเชื่อถือ โดยเหยื่อจะเห็นเว็บไซต์ถูกส่งผ่านเครือข่าย Cloudflare แทนที่จะเป็นโดเมนที่ดูน่าสงสัย

สำหรับหลายองค์กร การบล็อกโดเมนของ Cloudflare แบบครอบจักรวาลแทบทำไม่ได้ เพราะจะกระทบเว็บไซต์หรือบริการอื่นที่ใช้งานจริง

Cloudflare Workers: ระบบควบคุมการโจมตีแบบ serverless

Workers คือแพลตฟอร์ม serverless ที่ให้รันโค้ด JavaScript บน edge network ของ Cloudflare ได้ ผู้โจมตีสามารถใช้มันสร้างโครงสร้างโจมตีแบบยืดหยุ่น เช่น

• redirect ผู้ใช้ไปยังหน้า phishing
• reverse proxy ที่ดักจับข้อมูลล็อกอิน
• ระบบ command‑and‑control (C2) ขนาดเล็ก

งานวิจัยด้านความปลอดภัยยังพบว่า Workers สามารถใช้ทำ transparent phishing ได้ โดยทำหน้าที่เป็น proxy ไปยังหน้า login จริง ขณะที่แอบเก็บข้อมูลที่ผู้ใช้กรอกไว้

Cloudflare Tunnels: ซ่อนเซิร์ฟเวอร์อันตราย

Cloudflare Tunnel ถูกออกแบบมาเพื่อเปิดบริการภายในเครือข่ายออกสู่อินเทอร์เน็ตผ่านเครือข่าย Cloudflare โดยไม่ต้องเปิดพอร์ตโดยตรง

ผู้โจมตีใช้คุณสมบัตินี้เพื่อ

• แจกจ่ายมัลแวร์ผ่านลิงก์ในอีเมล phishing
• โฮสต์ไฟล์อันตรายหลัง subdomain ของ Cloudflare
• ซ่อนเซิร์ฟเวอร์ C2 จากการสแกนอินเทอร์เน็ต

รายงานด้านความปลอดภัยหลายฉบับพบแคมเปญที่ใช้ Cloudflare Tunnel เพื่อส่ง remote‑access trojan (RAT) ไปยังเหยื่อ

ทำไมเทคนิคนี้ตรวจจับได้ยาก

การใช้โครงสร้างคลาวด์ที่เชื่อถือได้ให้ข้อได้เปรียบหลายอย่างกับผู้โจมตี

อย่างแรก ทราฟฟิกที่ผ่าน Cloudflare หรือ Azure มักดูเหมือนการใช้งาน SaaS หรือ CDN ปกติ ทำให้เครื่องมือรักษาความปลอดภัยตรวจจับได้ยากโดยไม่สร้าง false positive จำนวนมาก

อย่างที่สอง บริการ serverless ทำให้ผู้โจมตีเปลี่ยนพฤติกรรมได้อย่างรวดเร็ว เช่น

• เปลี่ยนเส้นทาง redirect
• ย้ายตำแหน่งไฟล์มัลแวร์
• สลับโครงสร้างพื้นฐานใหม่

ทั้งหมดทำได้โดยไม่ต้องดูแลเซิร์ฟเวอร์จริง

สุดท้าย การกระจายโครงสร้างโจมตีไปหลายผู้ให้บริการคลาวด์ยังทำให้การสืบสวนและการระบุตัวผู้โจมตียากขึ้น

กลุ่มแฮ็กเกอร์ที่อาจเกี่ยวข้อง

รายงานสาธารณะเกี่ยวกับแคมเปญในมาเลเซียระบุว่าพฤติกรรมของการโจมตี สอดคล้องกับรูปแบบของการจารกรรมไซเบอร์ที่รัฐสนับสนุน แต่ยังไม่มีการระบุผู้กระทำที่แน่ชัด

นักวิเคราะห์บางส่วนชี้ว่ามีความคล้ายคลึงกับปฏิบัติการของ APT41 ซึ่งเป็นกลุ่มที่เชื่อมโยงกับจีน และเคยทำแคมเปญจารกรรมไซเบอร์ในหลายประเทศ โดยมุ่งเป้าอุตสาหกรรมเทคโนโลยี โทรคมนาคม และสาธารณสุข

กลุ่มลักษณะเดียวกันเคยใช้โครงสร้าง CDN และบริการคลาวด์เพื่อซ่อนระบบ command‑and‑control หรือโครงสร้างโจมตีมาก่อน

อย่างไรก็ตาม ขณะนี้ ยังไม่มีหลักฐานยืนยัน ว่าแคมเปญในมาเลเซียเกี่ยวข้องกับ APT41, Mustang Panda หรือ Amaranth‑Dragon โดยตรง

เหตุผลที่มาเลเซียกลายเป็นเป้าหมาย

การเติบโตอย่างรวดเร็วของเศรษฐกิจดิจิทัลทำให้มาเลเซียกลายเป็นเป้าหมายที่มีมูลค่าสำหรับการจารกรรมไซเบอร์

การลงทุนด้านดิจิทัลในประเทศสูงถึง 163.6 พันล้านริงกิตในปี 2024 และ 87.4 พันล้านริงกิตในปี 2025 โดยแรงขับหลักมาจาก AI, บิ๊กดาต้า คลาวด์ และศูนย์ข้อมูล

โครงสร้างเหล่านี้สร้างเป้าหมายข่าวกรองที่มีค่า เช่น

• ข้อมูลบัญชีคลาวด์และระบบ identity ขององค์กร
• ทรัพย์สินทางปัญญาและซอร์สโค้ด
• โครงสร้างพื้นฐานดาต้าเซ็นเตอร์
• ระบบดิจิทัลที่เชื่อมโยงกับภาครัฐ

สำหรับกลุ่มจารกรรม การเข้าถึงข้อมูลเหล่านี้ให้ทั้งประโยชน์ทางเศรษฐกิจและข้อมูลเชิงยุทธศาสตร์

แนวโน้มใหม่: การโจมตีที่ซ่อนตัวในคลาวด์

กรณีของมาเลเซียสะท้อนแนวโน้มที่กำลังเกิดขึ้นในโลกไซเบอร์: ผู้โจมตีกำลังเลิกใช้เซิร์ฟเวอร์ที่ดูน่าสงสัย และหันมาใช้ โครงสร้างพื้นฐานคลาวด์ที่เชื่อถือได้ แทน

เมื่อส่วนต่าง ๆ ของปฏิบัติการถูกฝังอยู่ในบริการอย่าง object storage, serverless computing และ CDN ผู้โจมตีจะได้ข้อได้เปรียบหลายอย่าง เช่น

• ใช้ชื่อเสียงของผู้ให้บริการคลาวด์บังหน้า
• ทราฟฟิกถูกเข้ารหัสและดูเหมือนการใช้งานเว็บทั่วไป
• สามารถสร้างหรือเปลี่ยนโครงสร้างโจมตีได้อย่างรวดเร็ว

สำหรับทีมความปลอดภัยไซเบอร์ นั่นหมายความว่า การบล็อกตามชื่อเสียงของโดเมนเพียงอย่างเดียวไม่เพียงพออีกต่อไป การตรวจจับต้องอาศัยการวิเคราะห์พฤติกรรม การติดตามการใช้งานคลาวด์ที่ผิดปกติ และการตรวจสอบการส่งข้อมูลออกจากเครือข่ายอย่างละเอียด

เมื่อบริการคลาวด์ยังคงพัฒนาอย่างรวดเร็ว เครื่องมือเดียวกันที่ช่วยสร้างแอปสมัยใหม่ ก็กำลังกลายเป็นส่วนหนึ่งของโครงสร้างพื้นฐานสำหรับการจารกรรมไซเบอร์ยุคใหม่เช่นกัน.