CrowdStrike poinformowało o przeprowadzeniu wspólnej akcji z Google i organizacją Shadowserver, która doprowadziła do rozbicia botnetu nazwanego Glassworm. Ten złożony zestaw narzędzi i kanałów dowodzenia i kontroli był wykorzystywany przez cyberprzestępców do infekowania projektów open source, kradzieży poświadczeń i rozsyłania złośliwego oprogramowania dalej w łańcuchu dostaw oprogramowania.
Co się stało — news
Według raportu CrowdStrike operacja miała na celu zakłócenie aktywności grupy stojącej za Glassworm, która przez około dwa lata prowadziła kampanie wymierzone w deweloperów i projekty open source. W wyniku działań udało się zdaniem firmy wyłączyć cztery kanały dowodzenia i kontrolowania (command-and-control, C2), co przerwało dostęp atakujących do zainfekowanych maszyn i uniemożliwiło dalsze dostarczanie szkodliwych komponentów.
- Cel ataków: deweloperzy i projekty open source, aby skażać łańcuch dostaw oprogramowania.
- Metody rozsyłania: złośliwe rozszerzenia w marketplace, malvertising i przejęte poświadczenia.
- Skutki: ponad 300 repozytoriów na GitHub zostało "zatrutych" złośliwym kodem, według CrowdStrike.
- Kanały C2: Solana blockchain, BitTorrent P2P, Google Calendar i wirtualne serwery (VPS).
Jak działał Glassworm i dlaczego był groźny
Glassworm wykorzystywał kilka technik, aby osiągnąć cele: publikowanie złośliwych rozszerzeń na platformach wykorzystywanych przez programistów, malvertising polegające na opłacaniu sponsorowanych wyników wyszukiwania w celu nakłonienia ofiar do pobrania złośliwego oprogramowania oraz używanie poświadczeń skradzionych w poprzednich naruszeniach do przejmowania kont deweloperskich i wplantowywania złośliwych zmian w kodzie. Taka kombinacja taktyk zwiększała skuteczność kampanii, ponieważ atakujący wykorzystywali zaufanie, jakie organizacje i programiści pokładają w kodzie hostowanym publicznie.
Atak na deweloperów jest szczególnie niebezpieczny w kontekście łańcucha dostaw oprogramowania: kompromitacja pojedynczej stacji roboczej lub konta deweloperskiego może doprowadzić do wprowadzenia złośliwych komponentów do projektów używanych przez setki lub tysiące innych organizacji.
Działania zespołów śledczych i ograniczenia
CrowdStrike podało, że w ramach operacji udało się rozbić cztery kanały C2 wykorzystywane przez Glassworm. Kanały te wykorzystywały różne technologie i infrastruktury — od mechanizmów osadzonych w blockchainie Solana, poprzez sieć peer-to-peer BitTorrent, po nietypowe wykorzystanie Google Calendar oraz tradycyjne serwery VPS. Dzięki odcięciu tych łączy atakujący stracili możliwość sterowania już zainfekowanymi systemami i dalszego rozsyłania malware.
Raport wskazuje też na niejasności prawne i techniczne dotyczące stopnia oraz podstawy działań, jakie podjęto przy likwidacji infrastruktury Glassworm. W publikowanych materiałach nie określono szczegółów dotyczących uprawnień prawnych ani wszystkich metod technicznych, które zostały wykorzystane przez uczestniczące podmioty. Rzecznik CrowdStrike nie udzielił natychmiastowego komentarza.
Szerszy kontekst: inne ataki na łańcuchy dostaw
Incydent związany z Glassworm wpisuje się w falę ataków wymierzonych w ekosystem open source. W ostatnich tygodniach odnotowano inne kampanie, w tym operację nazwaną "Mini Shai-Hulud", która doprowadziła do kompromitacji kilku projektów open source i naraziła na ryzyko deweloperów współpracujących z tymi narzędziami. Zespół raportujący wskazał także na przypadek przejęcia konta dewelopera pracującego dla OpenAI oraz wcześniejszy incydent z marca, gdy popularne narzędzie Axios zostało przejęte w podejrzeniu operacji przypisywanej północnokoreańskim aktorom. Te zdarzenia pokazują, że ataki na łańcuchy dostaw pozostają istotnym i powtarzającym się zagrożeniem.
Dla organizacji korzystających z kodu open source oznacza to konieczność zwiększonej ostrożności przy przyjmowaniu aktualizacji i zależności, a także weryfikacji poświadczeń i praktyk bezpieczeństwa deweloperów, od których zależy ich infrastruktura.
Co mogą zrobić deweloperzy i firmy
Chociaż szczegółowe rekomendacje zależą od kontekstu i ryzyka, eksperci od bezpieczeństwa w podobnych przypadkach podkreślają kilka uniwersalnych praktyk: zabezpieczanie stacji roboczych deweloperów, stosowanie uwierzytelniania wieloskładnikowego, monitorowanie aktywności kont i repozytoriów oraz weryfikacja pochodzenia i integralności zależności. Dodatkowo przydatne są mechanizmy skanowania kodu i automatyczne testy bezpieczeństwa, które mogą wykryć podejrzane zmiany przed ich wdrożeniem do produkcji.
Operacja przeciwko Glassworm pokazuje też, że współpraca między firmami z sektora prywatnego a organizacjami monitorującymi infrastrukturę internetową może być skutecznym elementem reagowania na złożone zagrożenia. Jednakże brak jawności co do niektórych aspektów działań operacyjnych przypomina o potrzebie przejrzystości i jasnych ram prawnych w podejmowaniu interwencji przeciwko złośliwej infrastrukturze w sieci.
Podsumowując, rozbicie botnetu Glassworm to istotny sukces operacyjny, który przerwał kampanię skierowaną w ekosystem open source. Równocześnie wydarzenie przypomina o ciągłym ryzyku związanym z atakami na łańcuchy dostaw oprogramowania i potrzebie wielowarstwowych praktyk bezpieczeństwa po stronie deweloperów i firm.
