VPN-предатель: как Cloudflare WARP помогает хакерам в хитроумных атаках

Согласно новому исследованию компании Cado Security , злоумышленники начали активно использовать сервис Cloudflare WARP для проведения атак на уязвимые интернет-ресурсы.

Cloudflare WARP - бесплатный VPN-сервис, который оптимизирует трафик, направляя его через международную сеть Cloudflare. Сервис использует собственную реализацию протокола WireGuard для туннелирования данных до ближайшего дата-центра Cloudflare.

Эксперты отмечают, что основная опасность вредоносного использования WARP кроется в высоком уровне доверия к IP-адресам Cloudflare. Многие сетевые администраторы склонны пропускать такой трафик, считая его частью обычных бизнес-процессов. Более того, некоторые специалисты даже рекомендуют разрешать весь диапазон IP-адресов Cloudflare в файрволах.

Один из примеров - кампания SSWW, нацеленная на майнинг криптовалюты. Злоумышленники атакуют открытые Docker-контейнеры, используя WARP для первоначального доступа. Первый такой инцидент был зафиксирован 21 февраля 2024 года.

Все начинается с создания контейнера, обладающего повышенными привилегиями и доступом к хост-системе. Для этого применяется следующий HTTP-запрос:

IPv4 TCP (PA) 104.28.247.120:19736 -> redacted:2375 POST /containers/create

HTTP/1.1

Host: redacted:2375

Accept-Encoding: identity

User-Agent: Docker-Client/20.10.17 (linux)

Content-Length: 245

Content-Type: application/json

{"Image": "61395b4c586da2b9b3b7ca903ea6a448e6783dfdd7f768ff2c1a0f3360aaba99", "Entrypoint": ["sleep", "3600"], "User": "root", "HostConfig": {"Binds": ["/:/h"], "NetworkMode": "host", "PidMode": "host", "Privileged": true, "UsernsMode": "host"}}

Далее запускается скрипт, который выполняет ряд действий:

1. Останавливает сервисы конкурирующих майнеров
2. Проверяет, не заражена ли система уже кампанией SSWW
3. Отключает SELinux
4. Настраивает huge pages и включает drop_caches для оптимизации XMRig
5. Загружает и устанавливает майнер XMRig с встроенной конфигурацией
6. Загружает и компилирует простой скрипт для скрытия процессов
7. Добавляет скрипт скрытия процессов в /etc/ld.so.preload для работы в качестве пользовательского руткита
8. Создает и активирует SystemD юнит для автозапуска майнера

Аналитики выяснили, что атакующие используют кошелек Monero с адресом 44EP4MrMADSYSxmN7r2EERgqYBeB5EuJ3FBEzBrczBRZZFZ7cKotTR5airkvCm2uJ82nZHu8U3YXbDXnBviLj3er7XDnMhP. На момент публикации отчета хакерам удалось добыть около 9.57 XMR (примерно 1 567 долларов).

Несмотря на то, что для сокрытия следов применяется WARP, исследователям удалось определить, что атаки исходят из дата-центра Cloudflare в Загребе, Хорватия.

Кампания SSWW - не единственная угроза, использующая WARP. Эксперты Cado Security зафиксировали значительный рост атак на SSH-сервисы через эту платформу. К концу 2023 года число таких попыток взлома достигло нескольких тысяч ежемесячно. Особенно тревожным фактом стала миграция многих известных хакерских групп с традиционных VPS-провайдеров на Cloudflare WARP для проведения своих операций.

Вероятно, киберпреступники используют WARP не столько для анонимности, сколько для обхода блокировок. IP-адреса Cloudflare воспринимаются как "чистые" и редко попадают в черные списки, в отличие от адресов, принадлежащих известным хостинг-провайдерам.