CrowdStrike, Google และ Shadowserver ร่วมกันกวาดล้างเครือข่าย GlassWorm Botnet

เว็บไซต์ The Hacker News รายงานว่า เมื่อ 26 พ.ค. 69 ผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ ได้แก่ CrowdStrike, Google และมูลนิธิ Shadowserver ร่วมกันปฏิบัติการกวาดล้างอุปกรณ์ที่ถูกใช้เป็นเครื่องควบคุมสั่งการโจมตีทางไซเบอร์ หรือ Command-and-Control (C2) ของเครือข่ายบอตเน็ต (Botnet) ขนาดใหญ่ที่ชื่อ GlassWorm

ซึ่งที่ผ่านมาถูกใช้โจมตีห่วงโซ่อุปทานซอฟต์แวร์ ด้วยการฝังมัลแวร์ในโปรแกรมส่วนเสริม (Extensions) ที่นักพัฒนาซอฟต์แวร์นิยมใช้ อาทิ VSCode และ npm รวมถึงสวมสิทธิ์บัญชีใช้งานแพลตฟอร์มพัฒนาซอฟต์แวร์ที่ได้รับความนิยม ทั้งนี้ GlassWorm มีช่องทางเข้าควบคุมอุปกรณ์ในเครือข่าย Botnet 4 ช่องทาง ได้แก่ Blockchain Solana, BitTorrent, Google Calendar, และการเชื่อมต่อโดยตรงกับเหยื่อ ทำให้เครือข่ายทนทานต่อการปิดกั้น (Block) เนื่องจากมีช่องทางการเข้าถึงเครือข่ายจำนวนมาก การทำลายเครือข่ายอย่างเบ็ดเสร็จจึงต้องยุติการควบคุมเครือข่ายทุกช่องทางในห้วงเวลาที่สอดประสานกัน เพื่อไม่ให้เครือข่าย Botnet ที่เหลืออยู่สามารถกู้คืนระบบ และเชื่อมต่อเครือข่ายขึ้นมาใหม่ได้

ผู้เชี่ยวชาญด้านการวิเคราะห์ภัยคุกคามทางไซเบอร์ประเมินว่า เบื้องหลังเครือข่าย GlassWorm  อาจเกี่ยวข้องกับกลุ่มแฮ็กเกอร์รัสเซีย เนื่องจากพบข้อความภาษารัสเซียภายในคำสั่งโปรแกรม (Code) ของมัลแวร์ ที่ตั้งค่าให้ยุติการทำงาน หากตรวจพบว่าระบบที่จะโจมตีตั้งอยู่ในกลุ่มประเทศเครือรัฐเอกราช หรือ Commonwealth  of Independent States (CIS) ที่เคยเป็นส่วนหนึ่งของสหภาพโซเวียต บ่งชี้ถึงการจำกัดขอบเขตโจมตีโดยมุ่งเน้นเป้าหมายนอกภูมิภาค โดยเฉพาะกลุ่มประเทศตะวันตกและเอเชีย ที่นิยมใช้งานแพลตฟอร์มพัฒนาซอฟต์แวร์สากล