De bygger internet – nu jagades de av ett botnät som ingen enskild aktör kunde stoppa

Ett botnät med skräddarsydd måltavla

Det finns något extra obehagligt med hur Glassworm valde sina offer. Inte banker, inte statliga myndigheter – utan just de utvecklare som bygger och underhåller den öppna programvara som hela det moderna internet vilar på. Enligt Computer Sweden har botnätet, som varit i drift sedan 2024, specifikt riktat in sig på denna grupp för att stjäla lösenord och inloggningsuppgifter.

Valet av måltavla är logiskt ur en angripares perspektiv, även om det är cyniskt. En komprometterad utvecklare med skrivrättigheter till ett välkänt programvarubibliotek är ett jackpot-scenario. Skadlig kod som smygs in i ett sådant bibliotek kan sedan spridas till miljontals system världen över utan att användarna anar något – det som i branschen kallas en kedjeattack. Vi har sett förödande exempel på detta tidigare, inte minst händelsen kring XZ Utils förra året, som visade hur sårbar ekosystemet för öppen källkod faktiskt kan vara.

Tre aktörer, ett gemensamt mål

Det som gör den här operationen anmärkningsvärd är inte bara att Glassworm slogs ut – utan hur det gjordes. Crowdstrike, Google och den ideella organisationen Shadowserver samordnade sina insatser för att ta ner infrastrukturen bakom botnätet. Det är ett samarbete som korsar gränsen mellan kommersiella intressen och ideellt säkerhetsarbete, och det är precis den sortens allians som cybersäkerhetsbranschen har behövt bli bättre på.

Enskilda organisationer – hur välresurserade de än är – saknar helt enkelt den räckvidd som krävs för att ensamt kartlägga och avveckla infrastruktur i den här skalan. Shadowserver, som dagligen samlar in och delar information om skadlig nätverkstrafik med säkerhetsorganisationer världen över, bidrar med den typ av bred synlighet som varken Crowdstrike eller Google har ensamt. Det är ett fint exempel på hur öppen samverkan kan skapa resultat som ingen enskild aktör klarar av på egen hand.

Detaljer kring den tekniska genomföringen och det exakta antalet infekterade datorer har ännu inte offentliggjorts i sin helhet, men det faktum att operationen kommuniceras öppet är i sig värdefullt – det skickar en signal till aktörer som driver liknande infrastruktur.

Hotet mot öppen källkod är en strukturell utmaning

Jag vill stanna kvar lite vid målgruppen för Glassworm, för jag tror det är en underskattad aspekt av den här nyheten. Öppen källkod-gemenskapen är till sin natur distribuerad och volontärdriven. Många av de individer som underhåller kritiska programvarupaket gör det på sin fritid, utan organisatoriska säkerhetsrutiner i ryggen – inga krav på hårdvarunyckel för inloggning, inga automatiska säkerhetsgranskningar av koden de laddar upp.

Detta är inte en kritik mot dessa utvecklare – det är en strukturell sårbarhet i hur ekosystemet är byggt. Initiativ som Googles Open Source Security Foundation (OpenSSF) jobbar aktivt med att stärka säkerheten i öppen källkod, och nedmonteringen av Glassworm är ett välkommet tillskott i det arbetet. Men det finns mer att göra, och den här incidenten borde fungera som en påminnelse om att hot mot öppen källkod är hot mot hela den digitala infrastrukturen.

Samverkan är framtidens svar

Den trend som Computer Sweden lyfter fram – att privata företag och ideella aktörer alltmer samordnar sina insatser mot organiserad nätbrottslighet – är en av de mer hoppfulla utvecklingarna inom cybersäkerhetsområdet. Det är inte naivt att se möjligheter här. Ju fler aktörer som delar underrättelser, tekniska verktyg och operativ kapacitet, desto svårare blir det för botnät som Glassworm att överleva länge nog för att göra verklig skada.

Glassworm är borta nu. Men nästa variant är förmodligen redan under uppbyggnad.