Takedown kappte alle C2-Kanäle gleichzeitig Koordinierte Zerschlagung des Supply-Chain-Botnetzes Glassworm

Das Glassworm-Botnetz griff gezielt Entwickler und Software-Lieferketten an und wurde von Akteuren aus nicht-kooperierenden Staaten gesteuert. Wenn Strafverfolgung an Staatsgrenzen scheitert, bleibt Disruption als schärfstes Mittel. Der koordinierte Takedown des Glassworm-Botnetzes vom 26. Mai zeigt, wie wirkungsvoll das sein kann.

In Zusammenarbeit mit Google und der Shadowserver Foundation hat CrowdStrike das Glassworm-Botnetz koordiniert zerschlagen. Der Takedown traf eine Bedrohung, die gezielt Entwickler über die Open-Source-Supply-Chain ins Visier nahm. Im Gespräch erklärt Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike, warum solche Disruptionen immer wichtiger werden.

Glassworm kompromittiert 151 GitHub-Repositories in einer Woche

Wie Glassworm vier Ökosysteme gleichzeitig unterwanderte

Security-Insider: Am 26.05.2026 um 14:00 UTC erfolgte der der Takedown des Glassworm-Botnetzes. Welche kurz- und langfristigen Auswirkungen hat das?

Adam Meyers: Der unmittelbare Effekt ist eine koordinierte Disruption des Glassworm-Botnets: Infrastruktur, Zugänge und operative Dynamik werden unterbrochen, wodurch die Fähigkeit des Angreifers, seine Aktivitäten zu skalieren, deutlich gebremst wird.

Das übergeordnete Ziel ist es, den Druck dauerhaft aufrechtzuerhalten und den Angreifer dazu zu zwingen, Zeit, Ressourcen und operative Energie in den Wiederaufbau seiner Infrastruktur zu investieren, statt weitere Opfer ins Visier zu nehmen. Durch das Offenlegen von Tradecraft und den Austausch von Intelligence können Verteidiger Entwicklerumgebungen, CI/CD-Pipelines und Software-Lieferketten gezielt gegen vergleichbare Aktivitäten härten. Das erhöht die operativen Kosten für den Angreifer und verschafft Verteidigern einen klaren Vorteil.

Domain-Takedowns

So stoppen IT-Security-Experten Cyberkriminelle

Security-Insider: Inwiefern sind Disruptionen wie diese die einzige verfügbare Gegen­maß­nahme, wenn Cyberkriminelle in Russland oder anderen Staaten sitzen? Können Sie genauer erläutern, welche Schritte Sie im Rahmen dieser Operation unternommen haben, um den Takedown so wirkungsvoll und nachhaltig wie möglich zu gestalten?

Meyers: Wenn Cyberangreifer aus Jurisdiktionen heraus operieren, in denen die Zusammen­arbeit mit Strafverfolgungsbehörden eingeschränkt ist oder praktisch nicht stattfindet, wird Disruption zu einem der wirksamsten Mittel. Wenn man den Operator nicht direkt festnehmen kann, muss man dort ansetzen, wo es weh tut: bei Infrastruktur, Vertrauensbeziehungen und operativen Abhängigkeiten.

Die effektivsten Operationen sind mehrschichtig angelegt. CrowdStrike hat alle vier Command-and-Control-Kanäle von Glassworm gleichzeitig ins Visier genommen: Solana-Blockchain, BitTorrent-DHT, missbrauchte Google-Calendar-Einträge und VPS-basierte C2-Server und damit die zentralen Verbindungen der Operation gekappt. Dadurch gerät der Angreifer operativ unter Druck: Er muss seine Infrastruktur neu aufbauen, während seine Tradecraft gleichzeitig offengelegt wird.

Entscheidend ist dabei die enge Zusammenarbeit zwischen Industriepartnern. Je stärker die Sichtbarkeit und Abstimmung im gesamten Ökosystem sind, desto schwieriger wird es für den Angreifer, seine Operation unbemerkt wieder hochzufahren. Auch wenn sich ein solcher Akteur dadurch nicht vollständig ausschalten lässt, kann man seine Wirksamkeit deutlich schwächen, seine Reichweite einschränken und den Aufwand für den weiteren Betrieb erheblich erhöhen.

GitHub, npm und VS Code betroffen

Neue GlassWorm-Angriffswelle trifft Hunderte von Repositories und Pakete

Security-Insider: Wie würden Sie Glassworm beschreiben und gegenüber anderen Bedrohungen einordnen, die auf Open-Source-Supply-Chains abzielen? Was war an der Operation von Glassworm besonders auffällig oder einzigartig?

Meyers: Was Glassworm besonders gemacht hat, war die operative Reife bei Verbreitung und Automatisierung. Das war kein einfacher Smash-and-Grab-Angriff auf ein Package Repository. Die Operation war darauf ausgelegt, sich durch vertrauenswürdige Developer Workflows zu bewegen und ihre Reichweite sehr schnell auszuweiten, sofern sie nicht frühzeitig gestoppt wurde.

Softwareentwicklung lebt von Geschwindigkeit, Automatisierung und Vertrauen. Genau das macht sie für Angreifer attraktiv. Deshalb verlagern Cyberangreifer ihre Aktivitäten zunehmend in vorgelagerte Phasen des Software Development Lifecycle. Eine Kompromittierung dort kann sich entlang der Software-Lieferkette ausbreiten und Zugriff auf eine deutlich größere Zahl potenzieller Opfer eröffnen.

Studie von Kaspersky

Jedes dritte Unternehmen von Supply-Chain-Angriff betroffen

(ID:50869908)