Was Glassworm seine einzigartige Widerstandsfähigkeit verlieh, war seine mehrkanalige Command-and-Control-Infrastruktur (C2). Die Betreiber vermieden gezielt einzelne Schwachstellen, indem sie die Kommunikation über vier unterschiedliche, redundante Kanäle leiteten .
Diese mehrschichtige Architektur war der Kern der „Unzerstörbarkeit" des Botnetzes. Hätte man nur einen oder zwei Kanäle lahmgelegt, wären die anderen voll funktionsfähig geblieben, und die Betreiber hätten ihre Kontrolle schnell wiederherstellen können .
Der einzig gangbare Weg zur Zerstörung war ein gleichzeitiger Schlag gegen alle vier C2-Kanäle. CrowdStrike beschrieb die Herausforderung nüchtern: „Die Zerschlagung dieser Architektur erforderte Präzision und Timing. Nur einen Kanal lahmzulegen, hätte die anderen weiterhin einsatzfähig gelassen, sodass die Betreiber sie schnell hätten wiederherstellen können" .
Am 26. Mai um 14:00 Uhr UTC führte die Koalition eine präzise koordinierte Aktion aus, die die Verbindung zwischen den Botnetz-Betreibern und ihrem globalen Netzwerk infizierter Maschinen kappte . Dadurch wurde die GlasswormRAT-Malware nicht automatisch von den kompromittierten Systemen entfernt, aber es blockierte die Fähigkeit der Angreifer, neue Befehle zu erteilen oder frische Schadcode-Nutzlasten zu liefern
. Die Operation neutralisierte die Offensivfähigkeiten des Botnetzes wirksam, auch wenn die Malware als latente Bedrohung auf einer unbekannten Anzahl von Rechnern weltweit verbleibt
.
Die Intelligence-Bewertung von CrowdStrike schreibt die Glassworm-Operation mit hoher Wahrscheinlichkeit in Russland ansässigen Cyberkriminellen zu . Der Fokus der Gruppe auf die Open-Source-Software-Lieferkette stellt eine gefährliche Weiterentwicklung der Strategie von Bedrohungsakteuren dar – weg von der direkten Attacke auf Endnutzer-Organisationen hin zur Vergiftung genau der Entwickler und Werkzeuge, von denen diese Organisationen abhängig sind.
Die Zerschlagung ist ein entscheidender defensiver Erfolg, aber keine Heilung. CrowdStrike hat eine Reihe konkreter Schritte empfohlen, mit denen Unternehmen infizierte Systeme identifizieren und bereinigen können .