In un'operazione di grande impatto sulla sicurezza informatica, CrowdStrike e Google, in collaborazione con la fondazione non-profit Shadowserver, hanno smantellato il botnet denominato "Glassworm". Questo botnet, specificamente rivolto agli sviluppatori di software, ha rappresentato una minaccia significativa per la catena di approvvigionamento del software open-source negli ultimi due anni.
Attacchi alla Supply Chain del Software
L'operazione ha rivelato come il botnet consentisse ai cybercriminali di distribuire malware e rubare credenziali, compromettendo oltre 300 repository su GitHub.
La metodologia impiegata dagli aggressori è particolarmente pericolosa: compromettere la workstation di un singolo sviluppatore può esporre l'intera catena di distribuzione software, con potenziali ricadute su migliaia di organizzazioni.
I criminali informatici hanno sfruttato infrastrutture complesse, tra cui la blockchain Solana e Google Calendar, per stabilire canali di comando e controllo (C2) e distribuire codice malevolo ai computer infetti. Queste attività evidenziano come gli attacchi agli sviluppatori non siano solo di natura tecnica, ma sistemici, richiedendo una risposta coordinata e multidisciplinare.
Sofisticazione Operativa del Botnet
CrowdStrike ha interrotto quattro server di comando e controllo utilizzati dal botnet, creando disagi operativi per gli aggressori.
L'architettura di "Glassworm" era progettata per essere resiliente alle interruzioni, impiegando una stratificazione di canali che includevano la rete peer-to-peer BitTorrent e server privati virtuali. Questa struttura permetteva al botnet di espandere rapidamente la propria portata.
Gli attacchi hanno interessato sistemi Windows, macOS e Linux, utilizzando strumenti specifici come il "GlasswormRAT" per il furto di dati e credenziali. Questo livello di automazione e sofisticazione operativa costituisce una sfida considerevole per le tradizionali strategie di sicurezza informatica.
Strategie di Risposta e Collaborazione
John Hultquist, capo analista del Google Threat Intelligence Group, ha sottolineato l'importanza di collaborare con i partner per aumentare la pressione sugli attaccanti, specialmente quando questi abusano dei prodotti o prendono di mira gli utenti di Google.
Questa strategia di "disruption" non solo blocca le operazioni immediate, ma costringe gli avversari a spendere risorse significative per ricostruire la propria infrastruttura.
Piotr Kijewski, CEO di Shadowserver, ha evidenziato come la collaborazione tra il settore privato e le organizzazioni non-profit possa migliorare l'efficacia delle operazioni di sicurezza, riducendo la capacità operativa degli attori malevoli e aumentando i costi delle loro attività illecite.
Proattività nella Difesa Cibernetica
Il successo di questa operazione dimostra come la sicurezza informatica possa essere rafforzata attraverso azioni proattive, piuttosto che meramente reattive. Esponendo le tecniche operative degli attaccanti e condividendo informazioni, è possibile proteggere gli ambienti degli sviluppatori e le pipeline di CI/CD, limitando l'efficacia degli attacchi alla supply chain del software.
L'invito è a unire le forze tra i diversi attori del settore, incluse le forze dell'ordine e gli operatori delle piattaforme, per costruire una rete di difesa solida contro le minacce nuove e in evoluzione nel panorama della sicurezza informatica.
