Как хакеры злоупотребляют Cloudflare Argo Tunnel?

Cloudflare Argo Tunnel - это мощный инструмент, способный значительно упростить создание защищенного соединения для веб-серверов и приложений. Однако, как и у любого мощного инструмента, у него есть теневая сторона: даже хакеры находят способы его использования в своих целях. Argo Tunnel предоставляет возможность создавать скрытые HTTPS-соединения через инфраструктуру Cloudflare. Это помогает обойти сетевые брандмауэры и улучшить скрытность во время атак. Хакерам достаточно запустить всего одну команду на скомпрометированном устройстве, используя уникальный токен туннеля, чтобы организовать скрытый канал связи. Это соединение остается вне поля зрения многих защитных систем и предоставляет злоумышленникам постоянный доступ к зараженным устройствам.

Специалисты GuidePoint отмечают, что злоумышленники активно используют Cloudflare Tunnels для обхода систем безопасности и похищения данных с минимальными шансами быть обнаруженными. Используя Argo Tunnel, они могут по необходимости включать и отключать соединения, например, для доступа к RDP (удаленному рабочему столу) и сбору информации, а затем сворачивать доступ, что делает их деятельность менее заметной.

Особую тревогу вызывает возможность использования функции TryCloudflare, которая позволяет создавать одноразовые туннели без необходимости регистрации учетной записи. Такой подход упрощает злоумышленникам манипуляции с подключениями и позволяет создавать короткоживущие, почти неотслеживаемые каналы связи.

Из-за использования QUIC-протокола (порт 7844), HTTPS-трафик, генерируемый туннелем, редко вызывает подозрения со стороны брандмауэров или других защитных решений, если те не настроены специально на его отслеживание. Это делает Cloudflare Argo Tunnel не только удобным инструментом для бизнеса, но и потенциальной угрозой, которую злоумышленники могут использовать для маскировки своих атак.