Специалисты компании CrowdStrike в сотрудничестве с Google и некоммерческой организацией Shadowserver, занимающейся мониторингом кибератак, успешно ликвидировали ботнет Glassworm. Эта вредоносная сеть использовалась киберпреступниками для распространения вирусов и кражи паролей у разработчиков открытого программного обеспечения.
Цели и методы киберпреступников
Операция по ликвидации Glassworm была направлена на пресечение двухлетней деятельности киберпреступников, которые целенаправленно атаковали цепочку поставок открытого ПО. В последние месяцы наблюдается рост числа хакерских группировок, атакующих разработчиков и проекты с открытым исходным кодом. Их целью является внедрение вредоносного ПО в продукты, используемые компаниями и организациями по всему миру. Эффективность таких атак объясняется высоким уровнем доверия, которое компании оказывают коду, размещённому на платформах вроде GitHub, и стоящим за ним разработчикам.
В отчёте CrowdStrike подчёркивается, что злоумышленники теперь атакуют не только конечные продукты, но и их создателей. Разработчики представляют собой исключительно ценные мишени, поскольку компрометация одной рабочей станции может привести к нарушению всей цепочки поставок, затрагивая тысячи организаций и пользователей.
Хакеры Glassworm применяли несколько тактик для распространения своего вредоносного кода, среди которых:
- Публикация вредоносных расширений на маркетплейсах, используемых разработчиками.
- Мальвертайзинг — оплата спонсируемых результатов поиска, обманывающих жертв и приводящих к загрузке вредоносного ПО.
- Использование учётных данных, похищенных в ходе предыдущих атак, что позволяло захватывать аккаунты разработчиков и внедрять вредоносный код в их проекты.
В результате этих действий хакерам удалось скомпрометировать, по данным CrowdStrike, более 300 репозиториев кода на GitHub.
Подробности операции по ликвидации
CrowdStrike сообщает об успешном отключении четырёх каналов управления и контроля, используемых хакерами Glassworm. Это позволило лишить злоумышленников доступа к заражённым компьютерам и предотвратить дальнейшее распространение вредоносного ПО. Для своих командно-контрольных серверов хакеры использовали такие технологии, как блокчейн Solana, пиринговую сеть BitTorrent, Google Календарь и виртуальные частные серверы.
На данный момент нет официальных комментариев относительно правовых или технических оснований, по которым CrowdStrike и партнёры осуществляли эту операцию. Представитель CrowdStrike не предоставил немедленных пояснений.
Контекст и связанные инциденты
Этот инцидент является частью более широкой тенденции атак на цепочки поставок открытого ПО. Так, недавно хакеры скомпрометировали несколько проектов с открытым исходным кодом в рамках другой кампании, получившей название «Mini Shai-Hulud», в ходе которой был атакован, в частности, разработчик OpenAI. Ещё один пример — мартовская атака, когда предположительно северокорейские хакеры захватили популярный инструмент для разработки открытого ПО Axios, используемый миллионами программистов.
