Giriş
2025 yılı Ekim ayından itibaren geliştiricilere yönelik yazılım tedarik zinciri saldırıları gerçekleştiren Glassworm botneti, araştırmacıların dayanıklı komut ve kontrol (C2) altyapısını devre dışı bırakması sonucunda etkisiz hale getirildi. Bu olay, siber güvenlik alanında büyük bir tehditin bertaraf edilmesi açısından kritik bir adım olmuştur.
Saldırı Nasıl Çalışıyor?
Glassworm botnetinin en dikkat çekici özelliği, C2 altyapısının geleneksel iletişim kanallarından ziyade Solana blok zinciri işlemlerine ve BitTorrent DHT ağına dayanmasıdır. Bu yapı, botnetin devamlılığını sağlarken, aynı zamanda tespit edilmesi ve ortadan kaldırılmasını da zorlaştırmıştır. Her biri farklı bir kaçış stratejisi ile tasarlanmış dört ana C2 kanalı üzerinden operasyonlarını sürdüren botnetin özellikleri şu şekildedir:
- Solana blok zinciri: C2 sunucu adresleri, blok zinciri işlemlerinin memo alanlarında şifrelenmiş halde saklanıyor. Bu, geleneksel yöntemlerle devre dışı bırakılamayan, kamuya açık bir “dead drop” alanı oluşturuyor.
- BitTorrent Dağıtık Hash Tablosu (DHT): GlasswormRAT, yapılandırma verilerini sabitlenmiş kamu anahtarları karşısında depolayan BitTorrent peer-to-peer ağını sorguluyor. Bu yapı, tek bir arıza noktasına sahip olmayan küresel bir merkeziyetsiz ağ sunuyor.
- Halka açık takvim hizmeti: Glassworm, Google Takvim etkinlik başlıklarını Base64 ile kodlanmış C2 yolları için dead-drop alanı olarak kullanıyor.
- Doğrudan sunucu bağlantıları: Ticari VPS sağlayıcılarında barındırılan geleneksel C2 altyapısı son yükleme mekanizması olarak işlev görüyor.
Etkilenen Sistemler
Glassworm saldırıları, başlangıçta kötü amaçlı OpenVSX ve Microsoft VS Code uzantılarıyla geliştiricileri hedef aldı. Sonraki saldırı dalgaları, GitHub depolarını ve npm paketlerini kapsayarak, Mart ayında 400’den fazla yazılım eserini etkiledi. En son saldırıda, Glassworm operatörleri OpenVSX üzerinde güncelleme sonrası aktif hale gelecek pek çok uyku modundaki uzantıyı yerleştirdi.
Çözüm ve Korunma
Araştırmacılar, C2 altyapısının devre dışı bırakılması için dört kanalın aynı anda kesilmesi gerektiğine dikkat çekiyor. Bunu başarmak için CrowdStrike, Google ve The Shadowserver Foundation, aşağıdaki stratejilerle botnetin operatörlerinin erişimini sağladı:
- Four C2 kanalı aynı anda kesildi.
- Artık etkilenmiş makineler yeni talimatlar veya yükler alamıyor.
Hedef alınan tüm makineler, CrowdStrike tarafından işletilen 164.92.88[.]210 IP adresine sinyal gönderiyor. Bu nedenle, kuruluşların bu ağ göstergesini takip etmeleri ve derhal iyileştirme eylemi gerçekleştirmeleri önerilmektedir. Ayrıca, araştırmacılar şüpheli sunucularda enfeksiyonu doğrulamak için YARA kuralları yayımlamıştır.
Aksiyon
Kuruluşlarda saldırılara karşı etkin bir savunma mekanizması oluşturmak için, sistemlerinizi güncel tutun, potansiyel olarak tehlikeli portları kapatın ve şüpheli ağ aktivitelerini hemen inceleyin. Geliştirici ekiplerinin, kullanılmayan uzantıları kaldırması ve olası diğer güvenlik açıklarını kapatması kritik öneme sahiptir.
