ما جعل Glassworm فريدة من نوعها في مرونتها هو بنيتها التحتية للقيادة والتحكم (C2) متعددة القنوات. فقد تجنب المشغلون عمداً نقاط الفشل الوحيدة من خلال توجيه الاتصالات عبر أربع قنوات متميزة وزائدة عن الحاجة .
كانت هذه البنية متعددة الطبقات هي جوهر طبيعة الشبكة "غير القابلة للقتل". فإسقاط قناة أو اثنتين كان سيترك البقية تعمل بكامل طاقتها، مما يسمح للمشغلين بإعادة تشكيل سيطرتهم بسرعة .
كان السبيل الوحيد القابل للتطبيق للتعطيل هو توجيه ضربة متزامنة ضد جميع قنوات القيادة والتحكم الأربع. وصفت CrowdStrike التحدي بوضوح: "تطلب تعطيل هذه البنية الدقة والتوقيت. إسقاط قناة واحدة فقط كان سيترك القنوات الأخرى عاملة، مما يسمح للمشغلين بإعادة التشكيل بسرعة" .
في تمام الساعة 14:00 بالتوقيت العالمي المنسق (UTC) من يوم 26 مايو، نفذ التحالف إجراءً منسقاً بدقة قطع الاتصال بين مشغلي الشبكة وشبكتهم العالمية من الأجهزة المصابة . لم يؤد هذا الإجراء إلى إزالة برمجية GlasswormRAT الخبيثة تلقائياً من نقاط النهاية المخترقة، لكنه منع المشغلين من إصدار أوامر جديدة أو إيصال حمولات خبيثة جديدة
. جردت العملية شبكة الروبوتات فعلياً من قدرتها الهجومية، على الرغم من أن البرمجية الخبيثة لا تزال تشكل تهديداً كامناً على عدد غير معروف من الأجهزة حول العالم
.
عزا تقييم استخباراتي من CrowdStrike عملية Glassworm إلى مجرمين إلكترونيين يُرجح أن مقرهم روسيا . يمثل تركيز المجموعة على سلسلة توريد البرمجيات مفتوحة المصدر تطوراً خطيراً في استراتيجية جهات التهديد، بالانتقال من استهداف المنظمات المستخدمة النهائية إلى تسميم المطورين والأدوات التي تعتمد عليها هذه المنظمات.
التعطيل هو انتصار دفاعي حاسم، لكنه ليس علاجاً. أوصت CrowdStrike بمجموعة محددة من خطوات المعالجة للمؤسسات لتحديد وتطهير أي أنظمة مصابة .