Удар по киберпрестъпността: Google и CrowdStrike ликвидираха ботнета Glassworm, атакувал open-source разработчици две години
CrowdStrike и Google, с подкрепата на организацията с нестопанска цел Shadowserver, обезвредиха ботнета Glassworm, използван от хакерите за атаки срещу разработчици на софтуер. Инфраструктурата на киберпрестъпниците им е позволявала да крадат пароли и да инжектират зловреден код в популярни проекти с отворен код.
По време на операцията са били деактивирани четири канала за командване и управление (Command and Control), чрез които нападателите са контролирали заразените устройства и са разпространявали зловреден софтуер. TechCrunch научи, че за две години групата е успяла да зарази повече от 300 хранилища в GitHub, но, както подчертават експертите на CrowdStrike, компрометирането на работната станция само на един разработчик може да доведе до верижна реакция и да зарази хиляди организации, използващи техния софтуер.
Хакерите в ботнета Glassworm са използвали няколко метода за разпространение на зловредния софтуер: публикували са заразени разширения на пазара за разработчици, използвали са легитимни онлайн рекламни мрежи, за да подмамят жертвите да изтеглят техния софтуер, и са използвали откраднати идентификационни данни, за да превземат акаунти на разработчици и да инжектират зловреден софтуер директно в техните проекти.
Управлението на ботнета се основава на нестандартна техническа архитектура. Сървърите за командване и контрол са комуникирали чрез блокчейна Solana, пиър-ту-пиър мрежата BitTorrent, Google Calendar и виртуални частни сървъри. Подобна схема затрудняваше наблюдението на заплахите, но координацията между специалистите позволяваше да се локализират уязвимите възли. В същото време правните основания за операцията остават затворени, а представителите на CrowdStrike се въздържат от коментари.
Операцията срещу Glassworm се проведе на фона на зачестилите атаки срещу екосистемата с отворен код. Миналата седмица групата Mini Shai-Hulud пусна злонамерени актуализации на няколко проекта, засягайки между другото разработчика OpenAI. През март подобен инцидент се случи с популярната библиотека Axios: нападател, заподозрян във връзки със Северна Корея, получи контрол над инструмента, използван от милиони програмисти.