Forskere stoppede Glassworm-botnettet efter at have nedbrudt dets modstandsdygtige kommando- og kontrolinfrastruktur under en koordineret cybersikkerhedsoperation. Malwarekampagnen rettede sig mod softwareudviklere gennem skadelige pakker, manipulerede kodearkiver og kompromitterede udviklingsværktøjer.

Sikkerhedseksperter oplyste, at Glassworm benyttede flere decentraliserede kommunikationsmetoder, som var designet til at overleve traditionelle nedtagningsforsøg. Operationen viser samtidig, hvor sofistikerede moderne supply chain-angreb mod udviklere og softwareøkosystemer er blevet.

Forskere gennemførte omfattende nedlukning af infrastrukturen

CrowdStrike bekræftede, at virksomheden samarbejdede med Google og Shadowserver Foundation for at stoppe Glassworms infrastruktur. Efterforskere rettede samtidig indsatsen mod alle kommunikationskanaler, som malwaren benyttede.

Forskere forklarede, at malwaren byggede på en meget modstandsdygtig arkitektur baseret på flere decentraliserede teknologier. Infrastrukturen omfattede blandt andet:

  • Solana-blockchain-transaktioner
  • Distribuerede BitTorrent-netværk
  • Google Calendar-teknikker til dead drops
  • Traditionelle VPS-servere

Malwaren brugte systemerne til at modtage kommandoer og hente skadelige filer, samtidig med at den undgik enkelte fejl- eller nedbrudspunkter. Efterforskere advarede om, at operationen ikke ville være stoppet fuldstændigt, hvis forskerne kun havde fjernet én kommunikationskanal.

Ved at ramme alle kommunikationsmetoder samtidigt forhindrede forskerne de inficerede systemer i at modtage nye instruktioner eller downloade yderligere malware.

Glassworm rettede sig mod udviklere og softwareøkosystemer

Forskere oplyste, at Glassworm-botnettet primært rettede sig mod softwareudviklere og udviklingsmiljøer. Kampagnen fokuserede kraftigt på kodearkiver, cloudplatforme, CI/CD-pipelines og softwarepakker.

Angriberne skal have distribueret malware gennem flere forskellige metoder, blandt andet:

  • Skadelige VSCode-udvidelser
  • Kompromitterede npm-pakker
  • Manipulerede Python-pakker
  • Stjålne GitHub-legitimationsoplysninger
  • Bagdørsinficerede kodearkiver

Efterforskere oplyste, at angriberne kompromitterede hundredvis af GitHub-repositorier ved hjælp af stjålne udviklerkonti. Forskere advarede om, at angreb mod udviklere skaber særligt farlige supply chain-risici, fordi kompromitterede systemer kan eksponere produktionsmiljøer og kunder længere nede i leverandørkæden.

Malwaren skal have påvirket Windows-, Linux- og macOS-systemer.

Forskere beskrev en usædvanligt modstandsdygtig infrastruktur

Sikkerhedsforskere oplyste, at Glassworm skilte sig ud på grund af dets usædvanlige infrastrukturdesign. I stedet for at være afhængig af traditionelle centraliserede kommandoservere brugte malwaren flere overlappende kommunikationssystemer.

Forskere forklarede, at operationen benyttede Solana-blockchain-transaktioner til at lagre kodede infrastrukturoplysninger. Malwaren brugte også BitTorrent-baserede peer-to-peer-netværk til at hente konfigurationsdata uden afhængighed af centraliserede systemer.

I nogle tilfælde brugte angriberne endda titler i Google Calendar-begivenheder til at skjule kodede kommando- og kontroloplysninger. Forskere oplyste, at teknikkerne gjorde operationen betydeligt vanskeligere at stoppe med traditionelle nedtagningsmetoder.

Kampagnen viser, hvordan trusselsaktører fortsætter med at bruge decentraliserede teknologier for at gøre malware mere modstandsdygtigt og reducere eksponeringen af infrastrukturen.

Supply chain-trusler fortsætter med at vokse

Forskere advarede om, at softwareudviklere fortsat er attraktive mål for cyberkriminelle grupper. Ét kompromitteret udviklingsmiljø kan potentielt påvirke tusindvis af brugere gennem inficerede softwareopdateringer eller afhængigheder.

Supply chain-angreb fortsætter med at vokse, fordi betroede softwareøkosystemer skaber ideelle muligheder for malwaredistribution. Sikkerhedseksperter anbefalede stærkere beskyttelse af legitimationsoplysninger, strengere kontrol af kodearkiver og bedre overvågning af tredjepartspakker og udvidelser.

Organisationer bør også gennemgå sikkerhedspolitikker for udviklingsmiljøer og implementere stærkere adgangskontroller for at reducere eksponeringen.

Konklusion

Glassworm-botnettet blev stoppet efter, at forskere gennemførte en koordineret nedlukning af dets modstandsdygtige kommando- og kontrolinfrastruktur. Malwareoperationen rettede sig mod udviklere gennem supply chain-angreb, som brugte skadelige pakker, kompromitterede kodearkiver og inficerede udviklingsværktøjer.

Forskere advarede om, at decentraliserede kommunikationssystemer gør moderne malwarekampagner sværere at stoppe. Operationen viser også, hvor vigtigt det er blevet at beskytte udviklingsmiljøer mod avancerede supply chain-trusler.


0 svar til “Glassworm-botnettet blev stoppet efter omfattende nedlukning af infrastrukturen”