האקרים מנצלים יותר ויותר את תוכנת המנהור Cloudflare Tunnels כדי ליצור חיבורי HTTPS חמקניים, לעקוף חומות אש ולשמור על נוכחות ארוכת טווח במערכות מחשב אליהן פרצו. Cloudflare Tunnel הינה תוכנת מנהור המאפשרת אבטחה והצפנה מהירים של תעבורת יישומים בכל סוג של תשתית, כך שניתן להסתיר את כתובות ה- IP של שרת האינטרנט ולחסום מתקפות סייבר. משתמשים יכולים לפרוס מנהור Cloudflare Tunnels פשוט על ידי התקנת אחד מלקוחות Cloudflared הזמינים עבור Linux, Windows, macOS ו- Docker. משם, נחשף השירות לאינטרנט בשם מארח שצוין על ידי המשתמש, כדי להתאים לתרחישי שימוש לגיטימיים כמו שיתוף משאבים, סביבת בדיקות וכדומה. Cloudflare Tunnels מספק מגוון בקרות גישה, תצורות שערים, ניהול וניתוח משתמשים – המעניקות למשתמשים בה מידה גבוהה של שליטה.
ניצול תוכנת המנהור של Cloudflare אינו דבר חדש, שכן Phylum דיווח בינואר 2023 שפושעי סייבר יצרו חבילות PyPI זדוניות שהשתמשו במנהור Cloudflare כדי לגנוב נתונים או כדי לגשת מרחוק למערכות מחשוב של קורבנותיהם. עם זאת, נראה שפושעי סייבר נוספים החלו להשתמש בטקטיקה זו, כפי שדיווחו צוותי DFIR ו- GRIT של GuidePoint בשבוע שעבר. נראה כי די בפקודה בודדת ממערכת המחשוב של הקורבן, שאינה חושפת דבר מלבד אסימון המנהרה הייחודי של התוקף, כדי להקים את ערוץ התקשורת הדיסקרטי. במקביל, יכולים פושעי הסייבר לשנות את תצורת המנהרה, להשבית ולאפשר אותה לפי הצורך בזמן אמת: "המנהרה מתעדכנת ברגע ששינוי התצורה מתבצע ב- Cloudflare Dashboard, מה שמאפשר לפושעי הסייבר פונקציונליות רק כאשר הם רוצים לבצע פעילויות במחשב הקורבן ואז להשבית את הפונקציונליות כדי למנוע חשיפה של התשתית שלהם", מסבירים GuidePoint ונותנים דוגמא: "פושעי הסייבר יכולים לאפשר קישוריות RDP, לאסוף מידע ממערכת המחשוב של הקורבן ואז להשבית את ה- RDP עד למחרת ובכך להפחית את הסיכון שלהם לזיהוי או את היכולת לצפות בדומיין שנוצל ליצירת החיבור".
מכיוון שחיבור ה- HTTPS וחילופי הנתונים מתרחשים באמצעות QUIC ביציאה 7844, אין זה סביר שחומות אש או פתרונות הגנה אחרים לרשת יסמנו תהליך זה כחשוד, אלא אם כן הם מוגדרים לכך באופן ספציפי. כמו כן, יכולים פושעי הסייבר להשתמש לרעה בתכונת TryCloudflare של Cloudflare המאפשרת למשתמשים ליצור מנהרות חד פעמיות מבלי ליצור חשבון. כדי להחמיר את המצב, טוענים GuidePoint שאפשר גם לעשות שימוש לרעה בתכונת רשתות פרטיות של Cloudflare כדי לאפשר לפושעי סייבר שהקימו מנהרה למערכת מחשוב בודדת של קורבן, לגשת מרחוק למגוון שלם של כתובות IP פנימיות.
כדי לזהות שימוש לא מורשה ב- Cloudflare Tunnels, ממליצים GuidePoint לארגונים לעקוב אחר שאילתות DNS ספציפיות ולהשתמש ביציאות לא סטנדרטיות כמו 7844. יתר על כן, מכיוון ש- Cloudflare Tunnel דורש התקנת הלקוח cloudflared, יכולים אנשי אבטחת סייבר לזהות את השימוש בו על ידי ניטור קבצים ספציפיים.