Yang membuat Glassworm sangat tangguh adalah infrastruktur command-and-control (C2) multi-salurannya. Para operator sengaja menghindari titik kegagalan tunggal dengan mengarahkan komunikasi melalui empat saluran berbeda yang redundan .
Arsitektur berlapis inilah inti dari sifat botnet yang "tak terbunuh." Mematikan satu atau dua saluran akan menyisakan saluran lainnya yang berfungsi penuh, memungkinkan operator untuk dengan cepat menyusun kembali kendali mereka .
Satu-satunya jalan yang memungkinkan untuk melumpuhkannya adalah serangan serentak terhadap keempat saluran C2. CrowdStrike menggambarkan tantangannya dengan jelas: "Melumpuhkan arsitektur ini membutuhkan ketepatan dan pemilihan waktu. Mematikan hanya satu saluran akan membuat saluran lainnya tetap operasional, memungkinkan operator untuk dengan cepat menyusun kembali. Keempat saluran harus dilumpuhkan secara bersamaan dalam upaya terkoordinasi" .
Pada pukul 14:00 UTC tanggal 26 Mei, koalisi ini mengeksekusi sebuah aksi yang terkoordinasi dengan tepat untuk memutus hubungan antara operator botnet dan jaringan global mesin yang terinfeksi . Ini tidak secara otomatis menghapus malware GlasswormRAT dari endpoint yang terkompromi, tetapi berhasil memblokir kemampuan operator untuk mengeluarkan perintah baru atau mengirimkan muatan berbahaya yang baru
. Operasi ini secara efektif melumpuhkan kemampuan ofensif botnet, meskipun malware-nya tetap menjadi ancaman laten di sejumlah mesin yang tidak diketahui di seluruh dunia
.
Penilaian intelijen CrowdStrike mengatribusikan operasi Glassworm kepada penjahat siber yang kemungkinan berbasis di Rusia . Fokus kelompok ini pada rantai pasok perangkat lunak sumber terbuka mewakili evolusi berbahaya dalam strategi aktor ancaman, bergeser dari menargetkan organisasi pengguna akhir menjadi meracuni para pengembang dan alat yang diandalkan oleh organisasi tersebut.
Pelumpuhan ini adalah kemenangan defensif yang kritis, tetapi bukanlah obat. CrowdStrike telah merekomendasikan serangkaian langkah remediasi konkret bagi organisasi untuk mengidentifikasi dan membersihkan sistem yang terinfeksi .