Siber güvenlik alanında önemli bir iş birliğine imza atan CrowdStrike, Google ve Shadowserver Foundation, Glassworm botnet'ini etkisiz hale getirdi. Üç kuruluş, botnet'in dört komuta ve kontrol (C2) kanalını aynı anda çökertmeyi başararak saldırganların enfekte cihazlarla bağlantısını kesti ve yeni zararlı yükler göndermelerini engelledi.
Glassworm botneti, geleneksel C2 sunucularının yanı sıra daha az yaygın ve gizli yöntemler kullanıyordu. Bu yöntemler arasında Google Calendar etkinlik başlıkları (Base64 kodlu C2 yolları için ölü posta kutuları), peer-to-peer ağlar ve Solana blok zincirindeki işlem not alanlarına gömülü C2 adresleri yer alıyordu. Ayrıca BitTorrent peer-to-peer ağı üzerinden yapılandırma verilerini sorguluyordu.
CrowdStrike'ın raporuna göre, botnet'in bu katmanlı yapısı, blockchain, peer-to-peer ve meşru web hizmetlerini birleştirerek çökertmelere karşı dayanıklılık sağlıyordu. Bu nedenle tehdit avcılarının tüm kanalları aynı anda devre dışı bırakması gerekiyordu. CrowdStrike, 'Sadece bir kanalı çökertmek diğerlerini çalışır durumda bırakır ve saldırganların hızla yeniden yapılanmasına olanak tanırdı' dedi.
Önemli Gelişmeler
Bu operasyon, siber güvenlik topluluğunun karmaşık ve çok katmanlı botnetlere karşı nasıl iş birliği yapabileceğini gösteriyor. Glassworm'un çökertilmesi, blockchain tabanlı C2 altyapılarının bile koordineli bir çabayla etkisiz hale getirilebileceğini kanıtlıyor. Benzer tehditlere karşı gelecekteki operasyonlar için önemli bir ders niteliği taşıyor.