Zlikwidowano botnet Glassworm. Ślady wskazują na Rosjan

Walkę ze szkodliwym oprogramowaniem toczą nie tylko zespoły cyberbezpieczeństwa oraz firmy z tejże branży. Swoją rolę odgrywają również duzi gracze na rynku. W tym gronie jest Google; jak informowaliśmy na naszych łamach, amerykańskie przedsiębiorstwo stało m.in. za ujawnieniem chińskiej kampanii szpiegowskiej w lutym br., identyfikacją złośliwego oprogramowania wykorzystywanego przez hakerów w 2025 r. czy falami banów w Sklepie Play w kwietniu 2024 r.

Zainfekowane repozytoria i szkodliwe dodatki

We współpracy z innymi podmiotami podejmowane są również znacznie szerzej zakrojone operacje. Jak poinformowali we wtorek eksperci z Crowdstrike, dzięki połączeniu sił z Google oraz Shadowserver Foundation udało się unieszkodliwić botneta Glassworm, który był rozpowszechniany za pomocą otwartoźródłowych repozytoriów.

„Ta akcja ma znaczenie wykraczające poza sam botnet. Glassworm stanowił znaczący zwrot w krajobrazie zagrożeń, który powinien być sygnałem alarmowym dla każdej organizacji zajmującej się tworzeniem lub korzystaniem z oprogramowania. Atakujący nie skupiają się już wyłącznie na produktach, ale biorą na cel również programistów, którzy je tworzą” – zwraca uwagę Crowdstrike w swoim komunikacie.

Według szczegółów ujawnionych przez firmę, aktorzy zagrożeń zaczęli atakować programistów na początku 2025 roku. Zorganizowana przez nich kampania opierała się na szkodliwych dodatkach do VSCode, ponad 300 zainfekowanych repozytoriach na GitHubie oraz skompromitowanych pakietach npm oraz Python. Po instalacji jednego z tych elementów, Glassworm wykradał dane autoryzacyjne do VSCode, GitHuba czy npm, a następnie wstrzykiwał szkodliwe elementy do repozytoriów w celu dalszego rozprzestrzeniania.

Sprawcy działali na czterech filarach

Sama infrastruktura zbudowana przez aktorów zagrożeń opierała się na czterech filarach. Adresy serwerów C2 były umieszczone w polu „memo” transakcji w blockchainie Solana; stworzony w ten sposób punkt nie był możliwy do wyłączenia w konwencjonalny sposób. Dane konfiguracyjne powiązane z zakodowanymi kluczami publicznymi były z kolei udostępniane za pośrednictwem sieci peer-to-peer, zakodowane w Base64 ścieżki C2 były umieszczane w tytułach wydarzeń w Kalendarzu Google, zaś infrastruktura C2 była oparta na serwerach VPS komercyjnych dostawców.

„Połączenie technologii blockchain, sieci peer-to-peer oraz legalnych usług internetowych jako warstw zabezpieczających zostało zaprojektowane tak, aby było odporne na blokady — stanowi to dynamiczną osłonę chroniącą serwery C2 za wieloma warstwami pośrednimi” – zauważyli eksperci z Crowdstrike.

Trop prowadzi do Rosji

Cała operacja została przeprowadzona przeciwko wszystkim czterem filarom jednocześnie – w przeciwnym wypadku aktorzy zagrożeń mogliby dość szybko odbudować swoje zdolności. Sami sprawcy mają pochodzić z Rosji; dowodami na to są rosyjskojęzyczne komentarze oraz znaleziony w kodzie warunek sprawdzający, czy kraj na terenie którego działa urządzenie należy do Wspólnoty Niepodległych Państw. W przypadku pozytywnego wyniku, atak zostaje przerwany.

„Kampania prowadzona przez Glassworm ujawnia trudną prawdę dotyczącą stanu bezpieczeństwa łańcucha dostaw oprogramowania: obrona przed tymi zagrożeniami wyłącznie poprzez wykrywanie po fakcie jest praktycznie niemożliwa. Wysiłki na rzecz zabezpieczenia łańcucha dostaw oprogramowania muszą być połączone z bardziej agresywnym podejściem do już istniejących zagrożeń. Wymaga to wyjścia poza wykrywanie i aktywnego rozbijania infrastruktury, na której opierają się zagrożenia takie jak Glassworm” – podsumowuje swój komunikat Crowdstrike.