O ativismo por meio de hacking, ou hacktivismo, se define pela realização de ataques cibernéticos com finalidade ideológica ou cultural.

Historicamente, algumas dessas ações podiam ser comparadas a protestos no mundo real, "congestionando" a rede com ataques de negação de serviço (DDoS) da mesma forma que os protestos tomas as ruas e avenidas das cidades. No entanto, essa atividade não pode mais ser encarada desta forma.

Embora os ataques de DDoS hacktivistas continuem sendo recorrentes, muitas das ações de hacktivismo agora envolvem a invasão de sistemas e até a coleta de inteligência. A consequência disso é que esses hackers frequentemente expõem dados com valor militar ou político.

A tensão política no Oriente Médio, que já dura décadas, criou as condições ideias para um grande celeiro de grupos hacktivistas. Esses grupos atuam de forma ideológica, muitas vezes reagindo a acontecimentos no mundo real.

Nesse contexto, uma complicação emergente é a sofisticação desses grupos de hacktivismo e a ampliação dos alvos considerados válidos por esses grupos. O primeiro ponto de atenção é que os hacktivistas podem escolher um alvo apenas por conta da presença de executivos ligados a um país ou etnia, mesmo que a empresa não tenha sede ou escritório na região de interesse.

Uma questão ainda maior que essa, porém, é a imposição da necessidade de recursos financeiros para sustentar as operações de hacktivismo, o que vem mudando profundamente as características desses grupos.

Financiamento além do hacktivismo

Quando ações de hacktivismo são realizadas por alguns poucos indivíduos, eles normalmente precisam de acesso à infraestrutura de TI e a outros recursos que, de maneira geral, precisam ser adquiridos com dinheiro.

Para financiar essa infraestrutura necessária para atingir seus alvos ideológicos, certos hacktivistas têm aceitado atuar como "mercenários", alugando sua capacidade de ataque a terceiros interessados em obter resultado rápido.

No caso de grupos mais sofisticados, os hacktivistas atuam inclusive invadindo empresas e revendendo esse acesso inicial a outros grupos criminosos que não fazem qualquer distinção ideológica em seus ataques. A venda desse acesso também ajuda a financiar o hacktivismo, inclusive com a compra de códigos para explorar vulnerabilidades.

Embora seja preciso reconhecer e apontar a existência desses atores mais sofisticados, ainda é verdade que muitos grupos de hacktivismo se dedicam principalmente à realização de ataques de negação de serviço distribuída (DDoS). No caso desses grupos, o aluguel de infraestrutura de DDoS e a formação de alianças com outros coletivos de hackers são os principais métodos para ampliar o escopo de suas atividades.

Um grupo ou indivíduo conhecido como Mr.Hamza exemplifica esse tipo de atividade.

Também é possível que os grupos de hacktivismo recebam incentivos financeiros de outros grupos ou de entidades organizadas, mas esse tipo de apoio é mais difícil de ser rastreado. 

De todo modo, há exemplos de grupos com recursos expressivos. Por exemplo, o grupo conhecido como Blackfield já ofereceu 500 mil dólares para adquirir um código para explorar uma vulnerabilidade (exploit), o que evidencia a robustez financeira dos hacktivistas.

Grupo Blackfield vendendo informações sobre indivíduos e contas bancárias a outros hackers em um fórum frequentado por operadores de ransomware.

Resumo do financiamento dos grupos hacktivistas

• Crowdfunding: os grupos atraem simpatizantes ideológicos e se aliam a outras entidades organizadas
• Extorsão: Os grupos de hacktivismo podem exigir que empresas e indivíduos paguem para cessar ataques específicos
• Serviços de hacking: (como DDoS e invasões)
• Venda de dados e ferramentas: Durante suas ações, os grupos de hacktivismo obtêm acesso a dados e sistemas que podem ser vendidos a outros grupos criminosos ajudando a financiar as próximas ações.

Envolvimento com ransomware

A expansão das atividades e alianças dos grupos de hacktivismo fez com que eles se aproximassem também de operadores de ransomware. 

Isto foi observado especialmente no grupo Cyber Fattah, que divulgou ferramentas ligadas a uma operação de ransomware.

Mensagens do grupo Cyber Fattah demonstrando aliança com a operação de ransomware BQTlock/BaqiyatLock

O uso de ransomware como operação de hacktivismo é um exemplo bastante claro de como as atividades desses grupos ganharam um foco financeiro para sustentar o avanço de ataques cibernéticos de cunho ideológico, tanto em volume como em sofisticação.

Grupos de hacktivismo

O mundo cibernético facilmente cria assimetrias. Isso significa que o impacto das ações nem sempre é proporcional à quantidade de agentes envolvidos ou do poder das entidades representadas por essas ações.

Nesse sentido, é importante compreender que não existe uma força necessariamente "equilibrada" entre os dois lados do confronto. Apesar disso, também não é possível afirmar de forma definitiva que um lado será necessariamente mais efetivo do que outro.

No caso dos confrontos no Oriente Médio envolvendo Israel, a motivação ideológica nem sempre é a mesma. Por exemplo, pode ser mais fácil encontrar grupos contrários ao Irã (identificamos 15) do que favoráveis à Israel (identificamos 10).

Essa divergência ideológica pode ou não ser relevante, dependendo do contexto de cada momento.

No caso da Palestina e do Irã, há uma grande convergência ideológica. Em parte, isso pode ser explicado pela solidariedade religiosa. Muitos países da região são de maioria muçulmana, aumentando a probabilidade de que residentes desses países sintam alguma afinidade com o Irã e os palestinos, mesmo que eles não estejam diretamente envolvidos no conflito.

Portanto, há mais de 100 grupos que podem ser considerados pró-Irã, espalhados geograficamente pelos países de maioria muçulmana no norte da África e da Ásia.

Devido à convergência de interesses, certas análises apontam que parte desses grupos pode estar vinculada a estruturas militares e de inteligência nacionais, seja através de financiamento ou pela coordenação das atividades. Contudo, raramente um país reconhece as ações que realiza no mundo digital.

De qualquer forma, devido ao número expressivo de atores, as técnicas variam consideravelmente entre um e outro. Há grupos como o Pink Sandstorm, que é especializado na instalação de malwares do tipo wiper, que destroem os sistemas invadidos. Da mesma forma, há hacktivistas especializados em espionagem a longo prazo ou na exploração de vulnerabilidades de forma oportunista.

Recomendações

Embora as empresas mais visadas pelos grupos hacktivistas sejam aquelas que têm algum vínculo com os países envolvidos nos confrontos que motivam esse tipo de ação, a ampliação do escopo desses grupos, motivada pela necessidade de financiar suas ações, levou alguns grupos de hacktivismo a ter uma atuação mais diversa.

Por isso, todas as empresas devem contar com Cyber Threat Intelligence para se manterem cientes das técnicas empregadas pelos hacktivistas, tratando-os da mesma forma que outros adversários.

A Axur indica principalmente as seguintes medidas de mitigação:

• Monitoramento de credenciais vazadas para invalidar senhas e outros códigos de acesso que podem ter caído na mão de invasores
• Monitoramento de marca e menções para identificar quando grupos de hacktivismo demonstram interesse em atacar empresas específicas, inclusive aquelas que são relevantes para a cadeia produtiva de determinados setores
• Acesso a dados de inteligência sobre os grupos e suas ações
• Uso de ferramentas de pesquisa e Threat Hunting com acesso a informações de grupos de hacktivismo para investigar incidentes e determinar quando eles podem estar ligados a grupos de hacktivismo

A Plataforma Axur oferece uma solução completa com todos esses recursos. Fale com um de nossos especialistas e descubra como a Axur pode aumentar sua visibilidade sobre essas e outras ameaças cibernéticas.