Ce qui rendait Glassworm particulièrement résilient était son infrastructure de commande et de contrôle (C2) multicanal. Les opérateurs ont délibérément évité les points de défaillance uniques en acheminant les communications via quatre canaux distincts et redondants .
Cette architecture à plusieurs couches était au cœur de la nature « indestructible » du botnet. Neutraliser un ou deux canaux aurait laissé les autres pleinement fonctionnels, permettant aux opérateurs de reconstituer rapidement leur contrôle .
La seule voie viable vers la neutralisation était une frappe simultanée contre les quatre canaux C2. CrowdStrike a décrit le défi simplement : « Perturber cette architecture exigeait précision et synchronisation. Désactiver un seul canal aurait laissé les autres opérationnels, permettant aux opérateurs de se reconstituer rapidement » .
À 14h00 UTC le 26 mai, la coalition a exécuté une action précisément coordonnée qui a rompu le lien entre les opérateurs du botnet et leur réseau mondial de machines infectées . Cela n’a pas automatiquement supprimé le malware GlasswormRAT des terminaux compromis, mais cela a bloqué la capacité des opérateurs à émettre de nouvelles commandes ou à délivrer des charges malveillantes
. L’opération a effectivement neutralisé la capacité offensive du botnet, même si le malware reste une menace latente sur un nombre inconnu de machines à travers le monde
.
L’évaluation de CrowdStrike attribue l’opération Glassworm à des cybercriminels probablement basés en Russie . La focalisation du groupe sur la chaîne d’approvisionnement des logiciels open source représente une évolution dangereuse de la stratégie des acteurs de la menace, délaissant le ciblage des organisations utilisatrices finales au profit de l’empoisonnement des développeurs et des outils dont ces organisations dépendent.
Cette neutralisation est une victoire défensive cruciale, mais ce n’est pas un remède. CrowdStrike a recommandé un ensemble concret de mesures de remédiation pour que les organisations puissent identifier et nettoyer tout système infecté .