Финальной полезной нагрузкой был GlasswormRAT — инструмент удаленного доступа на Node.js, способный воровать учетные данные, записывать нажатия клавиш и похищать данные. Машина разработчика становилась плацдармом для дальнейших атак на компании и продукты, которые он создавал .
Уникальная устойчивость Glassworm заключалась в его многоканальной командно-контрольной (C2) инфраструктуре. Операторы намеренно избегали единой точки отказа, распределив управление по четырем независимым каналам .
Именно эта многослойная архитектура была основой «неубиваемости» ботнета. Вывод из строя одного или двух каналов оставлял остальные полностью функциональными, позволяя операторам быстро восстановить контроль .
Единственным способом нарушить работу Glassworm была одновременная атака на все четыре канала управления. В CrowdStrike описали сложность задачи так: «Разрушение этой архитектуры требовало точности и выбора момента. Выведение из строя только одного канала оставило бы другие работоспособными, позволив операторам быстро перегруппироваться» .
26 мая в 14:00 по UTC альянс нанес точно скоординированный удар, который разорвал связь между операторами и их глобальной сетью зараженных машин . Эта акция не удалила GlasswormRAT с компьютеров жертв, но она заблокировала возможность операторов отдавать новые команды или доставлять новые вредоносные модули
. Ботнет был обезглавлен и лишен своей наступательной мощи, хотя сама вредоносная программа, как мина замедленного действия, все еще может оставаться на неизвестном количестве машин по всему миру
.
Согласно оценке разведки CrowdStrike, за операцией Glassworm, вероятно, стоят киберпреступники из России . Их фокус на цепочке поставок открытого программного обеспечения знаменует собой опасную эволюцию стратегий злоумышленников. Вместо атаки на конечные организации они стремятся «отравить источник» — инструменты и разработчиков, от которых эти организации зависят.
Ликвидация C2-каналов — это важнейшая оборонительная победа, но не панацея. CrowdStrike опубликовал конкретный список мер, которые организациям необходимо предпринять для выявления и очистки зараженных систем .