Hogyan csapott le a Google és a CrowdStrike a Glassworm botnetre

A Google, a Shadowserver Foundation és a CrowdStrike felszámolt egy orosz botnetet, amely fejlesztőket célzott meg adatok ellopására és teljes szoftverellátási láncok feltörésére.
A Glassworm botnet eltávolítása némi megkönnyebbülést hozhat a fejlesztőknek ebben az évben, amelyet a szoftverellátási lánc támadásai sújtanak.

Ezen a héten a CrowdStrike a Google-lel és a Shadowserver Foundationnel közösen felszámolt egy globális botnetet, amelyet a hagyományos eltávolítási erőfeszítések ellenállására terveztek .

A cég Elleni Műveleti Csoportja vezette a műveletet, amely a makacs rosszindulatú infrastruktúra ellen irányult, amely négy különálló parancs- és vezérlőcsatornát használt – úgy tervezték, hogy aktívak maradjanak akkor is, ha a hálózat egyes részeit letiltották.

Fejlesztői rendszerek célzása

A Glassworm üzemeltetői 2025 eleje óta szisztematikusan támadták a fejlesztőket.

A fejlesztők értékes célpontok voltak, mivel hozzáféréssel rendelkeztek forráskód-tárházakhoz, felhőrendszerekhez, CI/CD-folyamatokhoz és csomagnyilvántartásokhoz.

Egyetlen fejlesztői kompromisszum így akár az ellátási láncban is bekövetkezhet, ami több ezer felhasználót és vállalkozást érinthet.

Trójai támadásokkal fertőzött VSCode kiterjesztéseket tettek közzé az OpenVSX piactéren, mivel a kiterjesztések időkövetőnek és kódformázónak álcázták magukat.

A VSCode felhasználók mellett a Cursor, a Positron, a Windsurf, a VSCodium és más integrált fejlesztői környezetek (IDE) felhasználói is áldozatul eshetnek ezeknek.

A támadók npm és Python csomagokat is feltörtek, rosszindulatú kódot juttatva be a telepítés utáni hookok és telepítő szkriptek segítségével. A CrowdStrike szerint ez a kód csendben futott a rutin függőségek telepítése során.

A kampányhoz mérgezett GitHub-repozitóriumokat is hozzáadtak, a korábbi Glassworm-fertőzésekből gyűjtött hitelesítő adatokkal több mint 300 repozitóriumot kényszerítetten megfertőztek.

Felfedeztek egy GlasswormRAT nevű Node.js távoli elérési eszközt is. A többplatformos működés Windows, macOS és Linux rendszereket is érintett.

Decentralizált infrastruktúra-tervezés

A folyamatos működésre tervezett infrastruktúra decentralizált technológiákat alkalmazott, hogy megnehezítse a rosszindulatú programok észlelését és felszámolását.

Több kommunikációs módszer lehetővé tette a fertőzött eszközök számára, hogy továbbra is fogadják az utasításokat, még akkor is, ha az egyik rendszer meghibásodott.

A botnet parancs- és vezérlőkiszolgálói címeket a Solana blokklánc-tranzakciók feljegyzési mezőiben kódolták.

Ez egy „megváltoztathatatlan, nyilvánosan hozzáférhető tartalommá válást” hozott létre, amelyet nem lehet offline módon eltávolítani, ahogy a CrowdStrike fogalmaz.

Egy elosztott fájlmegosztó rendszert, a BitTorrentet, amely lehetővé teszi az emberek számára, hogy fájlokat osszanak meg az interneten keresztül, szintén kihasználtak a fenyegetések.

A GlasswormRAT lekérdezte a BitTorrent elosztott hash tábláját a fixen kódolt nyilvános kulcsok után.

A támadók a Google Naptár eseményeit és a kereskedelmi virtuális szervereket is használták utasítások és hasznos adatok fertőzött gépekre való terjesztésére.

A CrowdStrike ezt „egy dinamikus frontnak nevezi, amely a tényleges C2-kiszolgálókat több közvetett réteg mögött védi”.

Koordinált zavaró művelet

A CrowdStrike szerint egy ilyen architektúrájú botnet megzavarása „pontosságot és időzítést igényelt”.

„Mind a négy csatornát egyszerre, összehangolt erőfeszítéssel kellett megzavarni” – mondja a CrowdStrike. Az üzemeltetők gyorsan újra tudták volna működni, ha csak egy csatornát céloztak volna meg.

Alessandro Guggino, a CrowdStrike vezető biztonsági kutatója a LinkedIn-oldalán megjegyzi: „A CrowdStrike támadójátékot játszott, és az ellenféllel vitte a harcot.”

„Az Ellenfelek Elleni Műveleti Csoportja egy rugalmasan kezelhető globális botnetet zavart meg, amelyet négy különálló parancsnoki és irányítási (C2) csatornával terveztek meg, hogy szinte lehetetlen legyen leállítani.”

„A C2 architektúra két decentralizált hálózatra támaszkodott, amelyeket átvettünk és háttérbe szorítottunk – a Solana blokkláncra és a BitTorrent elosztott hash táblára (DHT) –, valamint a Google Naptár eseményeire és a kereskedelmi virtuális szerverekre, amelyeket az üzemeltetési partnereink leállítottak” – mondja Alessandro.

„As a result, infected machines can no longer receive new instructions or payloads.”

Az incidens emlékeztetőül szolgálhat arra, hogy a biztonsághoz proaktív fenyegetésvadászatra, együttműködésen alapuló hírszerzési információk megosztására és taktikai zavarokra van szükség.

A hagyományos, kizárólag az észlelésre összpontosító biztonsági erőfeszítések nehézségekbe ütközhetnek a decentralizált infrastruktúrát és rétegzett parancsrendszereket használó ellenfelekkel szemben.

Ezért a jogvédők egyre inkább együttműködnek a szervezett kiberbűnözést működtető infrastruktúra lebontásában.

Tovább a cikkre: technologymagazine.com (Rithula Nisha)