O que tornava a Glassworm singularmente resiliente era sua infraestrutura de comando e controle (C2) multicanal. Os operadores evitaram deliberadamente pontos únicos de falha, roteando as comunicações por quatro canais distintos e redundantes .
Esta arquitetura em camadas era o núcleo da natureza 'imorrível' da botnet. Derrubar um ou dois canais deixaria o restante plenamente funcional, permitindo que os operadores reconstituíssem rapidamente seu controle .
O único caminho viável para a disrupção era um ataque simultâneo contra todos os quatro canais de C2. A CrowdStrike descreveu o desafio de forma clara: "Desestabilizar essa arquitetura exigiu precisão e sincronia. Derrubar apenas um canal teria deixado os outros operacionais, permitindo que os operadores a reconstituíssem rapidamente" .
Às 14h00 UTC de 26 de maio, a coalizão executou uma ação precisamente coordenada que cortou a conexão entre os operadores da botnet e sua rede global de máquinas infectadas . Isso não removeu automaticamente o malware GlasswormRAT dos dispositivos comprometidos, mas bloqueou a capacidade dos operadores de emitir novos comandos ou entregar cargas maliciosas inéditas
. A operação neutralizou efetivamente a capacidade ofensiva da botnet, embora o malware permaneça como uma ameaça latente em um número desconhecido de máquinas ao redor do mundo
.
A avaliação de inteligência da CrowdStrike atribuiu a operação Glassworm a cibercriminosos provavelmente baseados na Rússia . O foco do grupo na cadeia de fornecimento de software de código aberto representa uma evolução perigosa na estratégia de agentes de ameaça, migrando do ataque a organizações de usuários finais para o envenenamento dos próprios desenvolvedores e ferramentas dos quais essas organizações dependem.
A disrupção é uma vitória defensiva crítica, mas não é uma cura. A CrowdStrike recomendou um conjunto concreto de passos de remediação para que organizações identifiquem e higienizem quaisquer sistemas infectados .