Hacktivismul nu este o noutate, însă granițele din ce în ce mai estompate dintre hacktivismul tradițional și operațiunile susținute de autoritățile guvernamentale îl transformă într-o amenințare puternică.
Hacktivismul (activism prin hacking) a revenit în centrul atenției odată cu invazia Rusiei în Ucraina în februarie 2022. La doi ani distanță, grupuri și indivizi motivați politic au ieșit din nou la atac, de data aceasta aparent pentru a-și exprima punctul de vedere în contextul conflictului Israel-Hamas. Îngrijorător este faptul că hacktiviștii au început să folosească tactici din ce în ce mai sofisticate și mai agresive pentru a atrage atenția publică.
Poate și mai îngrijorătoare este probabilitatea ca multe grupuri să fie, de fapt, sprijinite de agenții guvernamentale, sau să fie chiar formate din membrii acestora. Într-adevăr, granițele dintre operațiunile cibernetice sponsorizate de stat și hacktivismul tradițional au devenit neclare. Într-o lume caracterizată din ce în ce mai mult de instabilitate geopolitică și de o erodare a vechii ordini bazate pe reguli, organizațiile, în special cele care operează în cadrul infrastructurilor critice, ar trebui să ia în considerare includerea amenințării de tip hacktivism în modelarea riscurilor potențiale.
Ce este nou în hacktivism?
Explicat în mod simplist, hacktivismul este acțiunea de a lansa atacuri cibernetice din motive politice sau sociale. Ca un indiciu privind seriozitatea cu care este privit în prezent, Crucea Roșie a emis anul trecut opt reguli pentru „hackerii civili” care operează pe timp de război, subliniind în același timp faptul că hacktiviștii provoacă din ce în ce mai multe perturbări ale activității obiectivelor non-militare, precum spitale, farmacii și bănci.
În mod previzibil, au existat puține semne de aderare a hacktiviștilor la îndrumările emise de Crucea Roșie. Într-adevăr, având în vedere că atribuirea este încă dificil de realizat în mediul online, avantajele implicării în activități de hacktivism depășesc în mare măsură dezavantajele, mai ales dacă atacurile sunt susținute în secret de agențiile statale.
Tactici folosite
Actualul conflict Israel-Hamas a atras un număr fără precedent de activiști pe străzile din întreaga lume. Și, în același timp, a dus la o creștere a activității online. Multe dintre acestea sunt similare cu tacticile pe care le-am văzut în campaniile hacktiviste anterioare, inclusiv:
- Atacuri DDoS: Potrivit unor surse, activitatea DDoS determinată de hacktiviști a atins anul trecut un nivel record în octombrie, în urma conflictului dintre Israel și Hamas. Acest lucru a făcut ca Israelul să fie statul cel mai vizat de hacktiviști, cu 1.480 de atacuri DDoS înregistrate în 2023, inclusiv unele organizații de renume.
- Atacuri asupra paginilor web: Peste 100 de hacktiviști au lansat peste 500 de atacuri asupra website-urilor israeliene în săptămâna care a urmat raidurilor din 7 octombrie, potrivit cercetătorilor de la Universitatea Cambridge. Atacuri web similare continuă și în prezent.
- Date furate: Unele grupuri au susținut că au sustras și au publicat date aparținând Israelului și organizațiilor aliate. Cu alte cuvinte, hacktiviștii se pot infiltra în sistemele corporative pentru a fura informații sensibile înainte de a le face publice pentru a stânjeni sau prejudicia ținta.
Cu toate acestea, există și semne că hacktivismul devine din ce în ce mai sofisticat:
- Un raport a sugerat că grupul hacktivist AnonGhost a exploatat o vulnerabilitate API în aplicația „Red Alert”, care oferă alerte în timp real privind rachetele pentru cetățenii israelieni. Grupul „a interceptat cu succes cererile, a expus serverele și API-urile vulnerabile și a folosit scripturi Python pentru a trimite mesaje spam unor utilizatori ai aplicației”, se arată în raport. Grupul a reușit chiar să trimită mesaje false civililor cu privire la o bombă nucleară.
- Alte rapoarte au menționat că gruparea a postat capturi de ecran care indicau că a avut acces la dispozitivele SCADA ale sistemelor israeliene de alimentare cu apă. Cercetătorii nu au putut verifica aceste afirmații, dar au sugerat că este posibil ca hacktiviștii să fi desfășurat operațiuni de recunoaștere vizând acest sector.
Când statele se implică
Este posibil ca în spatele ultimelor atacuri să se afle hacktiviști cu cunoștințe tehnice mai avansate și/sau cu acces la instrumente și informații despre criminalitatea informatică subterană. Cu toate acestea, nu poate fi exclusă susținerea primită din partea diferitelor guverne. Multe țări au motive geopolitice și ideologice pentru a ataca alte țări și aliații lor folosindu-se de camuflajul hacktivismului.
ARTICOL SIMILAR: State-sponsored or financially motivated: Is there any difference anymore?
De fapt, grupurile suspectate de afiliere cu Rusia par să aibă o lungă istorie în acest sens, folosind inclusiv pseudonimul Anonymous Sudan, cunoscut în urma doborârii numeroase ținte în Occident. Grupul a revendicat atacul asupra Jerusalem Post și alte câteva atacuri care au vizat sisteme de control industrial (ICS), inclusiv sistemele israeliene precum Global Navigational Satellite Systems, Building Automation and Control Networks și Modbus ICS. O altă grupare pro-rusă, Killnet, a susținut că a doborât un site guvernamental israelian și site-ul agenției de securitate Shin Bet.
Deși aceste atacuri sunt deosebit de mediatizate, există indicii ale unor eforturi mai intense susținute de agenții statale și mascate drept hacktivism. Eforturile de dezinformare includ utilizarea de imagini generate de inteligența artificială care pretind că arată atacuri cu rachete, tancuri care rulează prin cartiere distruse sau familii care caută supraviețuitori printre dărâmături.
Scopul este generarea de imagini care creează o reacție emoțională puternică, cum ar fi cea a unui bebeluș care plânge în mijlocul resturilor unei bombe, care a devenit virală la sfârșitul anului trecut. Conturi false de social media și Telegram amplifică dezinformarea. Într-un caz, proprietarul X, Elon Musk, a promovat aparent o postare aparținând unui cont fals care a fost vizualizată de 11 milioane de ori înainte de a o șterge.
Cercetătorii în domeniul securității au observat o activitate coordonată suspectă în urma atacului Hamas, sugerând posibila implicare a statului. Un studiu a susținut că cel puțin 30 de grupuri hacktiviste și-au orientat imediat activitatea către conflict în decurs de 48 de ore.
Cum pot gestiona organizațiile riscurile
În multe privințe, indiferent dacă amenințarea hacktivistă provine de la grupuri autentice, de la cele aliniate intereselor de stat sau chiar de la agenții guvernamentale, amenințarea rămâne aceeași. Astfel de grupuri vizează din ce în ce mai mult organizațiile din sectorul privat care lansează public opinii cu privire la chestiuni politice sensibile. În unele cazuri, pot face acest lucru doar dacă există percepția că organizația este afiliată unei părți sau alteia. Sau o pot folosi drept un pretext pentru obiective mai obscure.
Indiferent de motiv, organizațiile pot urma acești pași de bază pentru a reduce riscul:
- Puneți întrebările potrivite: Suntem o potențială țintă? Ce active sunt în pericol? Care este amploarea suprafeței de atac? Măsurile existente sunt suficiente pentru a atenua riscul hacktivist? Poate fi utilă o evaluare completă a riscurilor cibernetice în ceea ce privește infrastructurile externe.
- Rezolvați orice lacune de securitate evidențiate de o astfel de evaluare, inclusiv vulnerabilitățile sau configurațiile greșite. În mod ideal, acest lucru ar trebui să se facă în mod continuu și automat.
- Asigurați-vă că activele sunt protejate împotriva amenințărilor la nivel de e-mail, endpoint, rețea și cloud hibrid și monitorizați continuu amenințările cu instrumente XDR/MDR.
- Îmbunătățiți gestionarea identității și a accesului cu o arhitectură de tip zero trust și autentificare cu mai mulți factori (MFA) și fiți atenți la tiparele suspecte de acces la date.
- Utilizați threat intelligence pentru a colecta, analiza și acționa pe baza informațiilor privind amenințările actuale și emergente.
- Aplicați o criptare robustă, atât în repaus, cât și în tranzit, pentru a proteja datele sensibile împotriva vizualizării sau modificării de către terțe părți neautorizate.
- Derulați programe continue de formare și conștientizare asupra securității cibernetice pentru angajați.
- Colaborați cu un furnizor de încredere pentru atenuarea riscului de atacuri DDoS.
- Construiți și testați un plan cuprinzător de răspuns la incidente.
Hacktivismul nu este o noutate. Însă granițele din ce în ce mai neclare dintre grupurile motivate ideologic/politic și interesele guvernamentale îl transformă într-o amenințare tot mai puternică. Aceasta este un moment bune pentru regândirea și planificarea managementului riscurilor.
Lasa un comentariu