Малайзийские хакеры годами шпионили через Cloudflare
3 мин
95
Хакеры, работающие на правительство Малайзии, использовали облачные сервисы Cloudflare для многолетней шпионской операции. Они создали скрытую инфраструктуру командных серверов и воровали данные.
Специалисты Oasis Security обнаружили кампанию, которая длится несколько лет. Операторы тщательно маскировали свои серверы, чтобы их не нашли публичные сканеры интернета. Инфраструктура связана с государственными сетями Малайзии, а методы работы типичны для шпионажа под эгидой государства.
Командные серверы настроены так, чтобы их было сложно обнаружить. Одни системы меняют поведение в зависимости от того, кто к ним подключается. Другие остаются полностью закрытыми до подключения через определённый протокол или канал. Стандартное сканирование интернета не позволяет их выявить.
Анализ архивных данных показал: инфраструктуру регулярно обновляют и поддерживают. Серверы не бросают после завершения атаки, а ротируют и используют повторно. Эксперты не раскрыли конкретные цели атак, но характер активности указывает на сбор разведывательной информации. Исследователи нашли совпадения с инфраструктурой, которую ранее использовали в других случаях регионального кибершпионажа. Имена операторов не называются, но все признаки указывают на государственную программу слежки.
Эксперты обнаружили, что киберпреступники активно используют сервисы Cloudflare для распространения вредоносного ПО и фишинговых страниц. Атакующие эксплуатируют доверие к крупным облачным платформам — трафик от таких сервисов реже попадает под подозрение.
Вредоносные файлы, размещённые на популярных облачных платформах, легко проходят базовые системы фильтрации. Исследователи нашли множество случаев, когда архивы с вредоносами и фишинговые страницы распространялись через облачные хранилища по ссылкам, которые выглядели легитимными. Многие компании не могут заблокировать Cloudflare, потому что это нарушит нормальную работу сотрудников.
Киберпреступники арендуют временные облачные хранилища, домены через CDN и краткосрочный хостинг. Если сервис заблокировали, они за несколько минут разворачивают новый. Это дешевле и позволяет продолжать атаки практически без перерыва.
Компаниям, которые отслеживают подозрительный трафик, сложно выявлять угрозы через доверенные облачные сервисы. Вредоносные файлы приходят через те же каналы, которыми пользуются обычные сотрудники. Эксперты рекомендуют не полагаться только на репутацию доменов. Необходимы поведенческий мониторинг и тщательная проверка всех исходящих соединений.
