Cloudflare đang bị lợi dụng làm nền tảng gián điệp mạng khó phát hiện

Vì sao Cloudflare hấp dẫn với tin tặc

Cloudflare là một nền tảng internet quy mô toàn cầu cung cấp nhiều dịch vụ như lưu trữ dữ liệu, serverless computing, hosting website và tunneling. Những công cụ này hỗ trợ các nhà phát triển hợp pháp, nhưng đồng thời cũng có thể bị kẻ tấn công lợi dụng để che giấu hạ tầng tấn công.

Nhiều báo cáo an ninh mạng cho thấy các chiến dịch độc hại ngày càng sử dụng những dịch vụ Cloudflare vì lưu lượng của chúng dễ hòa lẫn với hoạt động hợp pháp.

Cloudflare R2: nơi ẩn dữ liệu bị đánh cắp

R2 là dịch vụ lưu trữ object tương tự Amazon S3. Tin tặc có thể dùng nó để:

• Tải lên các file dữ liệu đánh cắp từ hệ thống nạn nhân
• Lưu trữ payload hoặc malware
• Phân phối file thông qua domain Cloudflare đáng tin cậy

Trong chiến dịch tại Malaysia, các nhà nghiên cứu quan sát thấy script được thiết kế riêng để tải dữ liệu bị đánh cắp lên hệ thống lưu trữ Cloudflare.

Cloudflare Pages: hạ tầng cho website lừa đảo

Cloudflare Pages cho phép triển khai website tĩnh rất nhanh. Tin tặc có thể dựng các trang phishing hoặc trang tải tài liệu giả mạo, nhưng vẫn chạy trên hạ tầng Cloudflare hợp pháp, khiến chúng trông đáng tin hơn.

Cloudflare Workers: relay cho hệ thống điều khiển

Workers là môi trường serverless chạy tại edge của Cloudflare. Kẻ tấn công có thể dùng Workers để:

• Chuyển hướng nạn nhân đến trang phishing
• Làm relay cho lưu lượng command‑and‑control (C2)
• Điều phối lưu lượng độc hại một cách linh hoạt

Một số nghiên cứu đã ghi nhận hạ tầng điều khiển của trojan truy cập từ xa hoạt động hoàn toàn bên trong tài khoản Cloudflare Workers.

Cloudflare Tunnel: che giấu máy chủ thật

Cloudflare Tunnel cho phép đưa máy chủ nội bộ ra internet mà không lộ địa chỉ IP thực. Tin tặc lợi dụng tính năng này để ẩn hạ tầng tấn công phía sau mạng Cloudflare trong khi vẫn phân phối payload hoặc malware.

Các chiến dịch malware trước đây đã sử dụng subdomain của Cloudflare Tunnel để lưu trữ payload và phát tán qua email phishing.

Bức tranh lớn hơn của gián điệp mạng tại Đông Nam Á

Vụ việc tại Malaysia phản ánh xu hướng lớn trong khu vực: các nhóm gián điệp mạng ngày càng dựa vào nền tảng đám mây hợp pháp để che giấu hoạt động.

Malaysia đang mở rộng mạnh mẽ hạ tầng số trong các lĩnh vực như viễn thông, vận tải và năng lượng. Sự phát triển này làm tăng bề mặt tấn công mạng và khiến quốc gia này trở thành mục tiêu hấp dẫn cho hoạt động thu thập tình báo.

Một số nhóm APT hoạt động lâu năm trong khu vực cũng áp dụng chiến thuật tương tự.

Mustang Panda

Mustang Panda là nhóm gián điệp mạng có liên hệ với Trung Quốc, hoạt động ít nhất từ năm 2012 và thường nhắm vào cơ quan chính phủ hoặc tổ chức ngoại giao bằng email lừa đảo và malware được thiết kế riêng.

APT41

APT41 được nhiều tổ chức an ninh đánh giá là nhóm đe dọa do nhà nước Trung Quốc hậu thuẫn, tham gia nhiều chiến dịch gián điệp trên nhiều quốc gia và lĩnh vực khác nhau. Nhóm này nổi tiếng với việc sử dụng nhiều loại malware và công cụ tùy chỉnh để duy trì truy cập lâu dài vào hệ thống mục tiêu.

Amaranth‑Dragon

Các chiến dịch mới hơn tại Đông Nam Á được cho là liên quan đến nhóm Amaranth‑Dragon, được đánh giá có liên hệ chặt chẽ với hệ sinh thái APT41 và đã nhắm vào cơ quan chính phủ và thực thi pháp luật tại nhiều quốc gia ASEAN.

Chiến dịch liên quan Cloudflare tại Malaysia chưa được quy trực tiếp cho nhóm nào. Tuy nhiên, mô hình hoạt động – công cụ tùy chỉnh, mục tiêu khu vực và hạ tầng ẩn trong dịch vụ đám mây – tương đồng với chiến thuật của nhiều nhóm gián điệp nhà nước.

Vì sao rất khó phát hiện

Thách thức lớn nhất với đội ngũ phòng thủ là lưu lượng trong các chiến dịch này trông hoàn toàn hợp pháp.

Một kết nối đến endpoint lưu trữ Cloudflare hoặc một dịch vụ serverless thường không khác gì lưu lượng web mã hóa bình thường. Việc chặn toàn bộ Cloudflare gần như không khả thi vì rất nhiều tổ chức phụ thuộc vào nền tảng này.

Do đó, các hệ thống phòng thủ phải chuyển từ cách tiếp cận dựa vào danh tiếng domain sang phân tích hành vi.

Một số tín hiệu đáng ngờ có thể bao gồm:

• Các hệ thống nội bộ bất ngờ tải dữ liệu lên endpoint lưu trữ Cloudflare
• Máy chủ nội bộ truy cập các subdomain Cloudflare chưa từng thấy
• Lưu lượng HTTPS POST lớn ngay sau khi hệ thống tạo file nén
• Máy chủ vốn ít truy cập internet đột nhiên kết nối đến dịch vụ cloud
• Lưu lượng cloud xuất hiện đồng thời với hoạt động dump credential, truy cập database hoặc điều khiển quản trị từ xa

Bài học bảo mật lớn hơn

Chiến dịch tại Malaysia cho thấy một sự thay đổi quan trọng trong chiến lược hạ tầng của tin tặc: thay vì vận hành máy chủ độc hại dễ bị phát hiện, chúng ngày càng "sống bên trong" các hệ sinh thái đám mây đáng tin cậy.

Điều này buộc các tổ chức phải nâng cấp cách phòng thủ – từ việc chỉ dựa vào danh sách cho phép và danh tiếng domain sang giám sát sâu hơn về danh tính người dùng, hành vi hệ thống và luồng dữ liệu giữa các dịch vụ đám mây. Khi hạ tầng tấn công ẩn trong các nền tảng internet lớn, việc phát hiện kẻ tấn công không còn phụ thuộc vào nơi lưu lượng đi đến, mà phụ thuộc vào cách lưu lượng đó hoạt động.