Glassworm 最令人頭痛的,是它的指揮與控制(Command-and-Control,簡稱 C2)基礎設施。其營運者深知資安界慣用的「打蛇打七寸」策略,因此刻意避開單點故障的風險,讓通訊流量在四個截然不同的頻道中冗餘備援 :
瓦解這類架構的唯一生路,就是對所有四條命脈發動零時差的同步打擊。CrowdStrike 直言不諱地描述了這項挑戰:「要瓦解這種架構需要極度的精準與時間掌控。單單拿下一個頻道,只會讓其他頻道繼續運作,讓攻擊者得以迅速重建其控制網。四個頻道必須在協調一致的行動中同時被瓦解」。
在台灣時間 5 月 26 日晚間 10 點,這個資安聯盟執行了天衣無縫的同步一擊,一舉切斷了殭屍網路操縱者與其全球受感染機器之間的聯繫 。這並不代表 GlasswormRAT 惡意軟體會自動從受感染的端點上移除,而是徹底剝奪了駭客下達新指令、或是投放新惡意酬載的能力
。儘管該惡意軟體在全球未知數量的機器上仍是一項潛在威脅,但這次行動已有效癱瘓了這個殭屍網路的主動攻擊能力
。
CrowdStrike 的情報評估將 Glassworm 行動歸因於很可能來自俄羅斯的網路犯罪份子 。該集團將目標鎖定在開源軟體供應鏈的策略,標誌著威脅行為者戰略的一次危險進化:從直接攻擊終端使用者組織,轉為直接毒害這些組織所依賴的開發者與工具。