Forscher zerschlugen das Glassworm-Botnetz, nachdem sie dessen widerstandsfähige Command-and-Control-Infrastruktur während einer koordinierten Cybersicherheitsoperation demontiert hatten. Die Malware-Kampagne richtete sich gegen Softwareentwickler und nutzte schädliche Pakete, manipulierte Repositories und kompromittierte Entwicklungswerkzeuge.
Sicherheitsexperten erklärten, dass Glassworm mehrere dezentrale Kommunikationsmethoden einsetzte, die gezielt entwickelt wurden, um klassische Abschaltungsversuche zu überstehen. Die Operation zeigt gleichzeitig, wie ausgefeilt moderne Supply-Chain-Angriffe auf Entwickler und Software-Ökosysteme geworden sind.
Forscher führten groß angelegte Infrastruktur-Abschaltung durch
CrowdStrike bestätigte, gemeinsam mit Google und der Shadowserver Foundation an der Zerschlagung der Glassworm-Infrastruktur gearbeitet zu haben. Ermittler nahmen dabei alle Kommunikationskanäle der Malware gleichzeitig ins Visier.
Forscher erklärten, dass die Malware auf einer äußerst widerstandsfähigen Architektur basierte, die mehrere dezentrale Technologien kombinierte. Die Infrastruktur umfasste Berichten zufolge unter anderem:
- Solana-Blockchain-Transaktionen
- Verteilte BitTorrent-Netzwerke
- Google-Calendar-Dead-Drop-Techniken
- Traditionelle VPS-Server
Die Malware nutzte diese Systeme, um Befehle zu empfangen und Schadsoftware nachzuladen, ohne von einzelnen zentralen Ausfallpunkten abhängig zu sein. Ermittler warnten, dass die Operation nicht vollständig gestoppt worden wäre, wenn nur ein Kommunikationskanal entfernt worden wäre.
Durch die gleichzeitige Abschaltung aller Kommunikationsmethoden verhinderten die Forscher, dass infizierte Systeme neue Befehle empfangen oder weitere Malware herunterladen konnten.
Glassworm griff Entwickler und Software-Ökosysteme an
Forscher erklärten, dass sich das Glassworm-Botnetz hauptsächlich gegen Softwareentwickler und Entwicklungsumgebungen richtete. Die Kampagne konzentrierte sich stark auf Repositories, Cloud-Plattformen, CI/CD-Pipelines und Softwarepakete.
Die Angreifer verteilten die Malware Berichten zufolge über mehrere Methoden, darunter:
- Schädliche VSCode-Erweiterungen
- Kompromittierte npm-Pakete
- Manipulierte Python-Pakete
- Gestohlene GitHub-Zugangsdaten
- Mit Backdoors versehene Repositories
Ermittler erklärten, dass die Angreifer mithilfe gestohlener Entwicklerzugänge Hunderte GitHub-Repositories kompromittierten. Forscher warnten, dass Angriffe auf Entwickler besonders gefährliche Supply-Chain-Risiken schaffen, weil kompromittierte Systeme Produktionsumgebungen und nachgelagerte Kunden gefährden können.
Die Malware soll Windows-, Linux- und macOS-Systeme betroffen haben.
Forscher beschrieben außergewöhnlich widerstandsfähige Infrastruktur
Sicherheitsforscher erklärten, dass sich Glassworm besonders durch seine ungewöhnliche Infrastruktur abhob. Anstatt sich auf klassische zentralisierte Command-and-Control-Server zu verlassen, nutzte die Malware mehrere überlappende Kommunikationssysteme.
Die Forscher erklärten, dass die Operation Solana-Blockchain-Transaktionen verwendete, um codierte Infrastrukturinformationen zu speichern. Außerdem nutzte die Malware BitTorrent-basierte Peer-to-Peer-Netzwerke, um Konfigurationsdaten abzurufen, ohne auf zentrale Systeme angewiesen zu sein.
In einigen Fällen versteckten die Angreifer codierte Command-and-Control-Daten sogar in Titeln von Google-Calendar-Ereignissen. Laut Forschern machten diese Techniken die Operation deutlich schwieriger mit herkömmlichen Abschaltungsmethoden zu stoppen.
Die Kampagne zeigt, wie Bedrohungsakteure weiterhin dezentrale Technologien einsetzen, um Malware widerstandsfähiger zu machen und die Sichtbarkeit ihrer Infrastruktur zu reduzieren.
Supply-Chain-Bedrohungen nehmen weiter zu
Forscher warnten, dass Softwareentwickler weiterhin attraktive Ziele für cyberkriminelle Gruppen bleiben. Bereits eine einzige kompromittierte Entwicklungsumgebung kann potenziell Tausende Nutzer durch infizierte Updates oder Abhängigkeiten gefährden.
Supply-Chain-Angriffe nehmen weiter zu, weil vertrauenswürdige Software-Ökosysteme ideale Möglichkeiten zur Malware-Verbreitung bieten. Sicherheitsexperten empfahlen stärkeren Schutz von Zugangsdaten, strengere Repository-Kontrollen und eine bessere Überwachung von Drittanbieter-Paketen und Erweiterungen.
Organisationen sollten außerdem ihre Sicherheitsrichtlinien für Entwicklungsumgebungen überprüfen und stärkere Zugriffskontrollen implementieren, um Risiken zu reduzieren.
Fazit
Das Glassworm-Botnetz wurde zerschlagen, nachdem Forscher dessen widerstandsfähige Command-and-Control-Infrastruktur gleichzeitig abgeschaltet hatten. Die Malware-Operation griff Entwickler über Supply-Chain-Angriffe mit schädlichen Paketen, kompromittierten Repositories und infizierten Entwicklungswerkzeugen an.
Forscher warnten, dass dezentrale Kommunikationssysteme moderne Malware-Kampagnen immer schwieriger zu stoppen machen. Die Operation verdeutlicht außerdem, wie wichtig der Schutz von Entwicklungsumgebungen vor fortschrittlichen Supply-Chain-Bedrohungen geworden ist.


0 Kommentare zu „Glassworm-Botnetz nach groß angelegter Infrastruktur-Abschaltung zerschlagen“