Хактивизм снова привлек внимание общественности после вторжения России в Украину в феврале 2022 года. Менее чем через два года политически мотивированные группы и отдельные лица снова активизировались, на этот раз якобы для того, чтобы заявить о своей позиции на фоне конфликта между Израилем и ХАМАС. Вызывает беспокойство то, что хактивисты используют все более изощренные и агрессивные тактики для привлечения внимания к своим целям.
Возможно, еще более тревожным является то, что многие группы на самом деле либо поддерживаются государством, либо даже состоят из государственных акторов. Действительно, границы между кибероперациями, спонсируемыми государством, и традиционным хактивизмом стали размытыми. В мире, который все больше характеризуется геополитической нестабильностью и эрозией старого порядка, основанного на правилах, организации, особенно те, которые работают в критической инфраструктуре, должны учитывать угрозу хактивизма при построении своих моделей рисков.
Что нового в хактивизме?
По сути, хактивизм — это кибератаки, проводимые по политическим или социальным причинам. Чтобы понять, насколько серьезно к этому теперь относятся, Международный комитет Красного Креста в прошлом году выпустил восемь правил для «гражданских хакеров», действующих во время войны, отмечая при этом, что хактивисты все чаще вызывают сбои в работе невоенных целей, таких как больницы, аптеки и банки.
ЧИТАЙТЕ ТАКЖЕ: Отчет ESET о деятельности APT за 4 квартал 2023 г. – 1 квартал 2024 г.
Предсказуемо, хактивисты мало придерживаются рекомендаций Красного Креста. Действительно, поскольку атрибуция в интернете по-прежнему затруднена, плюсы хактивистской деятельности по-прежнему в значительной степени перевешивают минусы – особенно если атаки тайно поддерживаются государствами.
Старое и новое
Нынешний конфликт между Израилем и ХАМАС привлек беспрецедентное число активистов на улицы по всему миру. И, синхронно, это привело к всплеску онлайн-активности. Большая часть этой активности схожа с тактиками, которые мы видели в предыдущих хактивистских кампаниях, включая:
- DDoS-атаки: По некоторым данным, активность DDoS, вызванная хактивистами, достигла пика в октябре прошлого года на «рекордных уровнях, после конфликта между Израилем и ХАМАС». Это сделало Израиль страной, наиболее подверженной атакам хактивистов; в 2023 году было зафиксировано 1480 DDoS-атак, включая атаки на крупные организации.
- Дефейсмент веб-сайтов: По данным исследователей из Кембриджского университета, более 100 хактивистов совершили более 500 атак дефейсмента веб-сайтов на израильские ресурсы в неделю после рейдов 7 октября. Подобные низкоуровневые дефейсменты продолжаются и по сей день.
- Кража данных: Некоторые группы заявляли, что украли и опубликовали данные из Израиля и связанных с ним организаций. Другими словами, хактивисты могут проникать в корпоративные системы, чтобы похитить конфиденциальную информацию, а затем публиковать ее, чтобы опозорить или навредить цели.
Однако есть и признаки того, что хактивизм становится более целенаправленным и изощренным:
- Один отчет предполагал, что хактивистская группа AnonGhost использовала уязвимость API в приложении «Red Alert», которое предоставляет израильским гражданам оповещения о ракетах в реальном времени. Группа «успешно перехватила запросы, обнаружила уязвимые серверы и API, а также использовала скрипты Python для отправки спам-сообщений некоторым пользователям приложения». Группе даже удалось отправить ложные сообщения гражданским лицам о ядерной бомбе.
- Другие отчеты отмечали, что хактивисты публиковали скриншоты, указывающие на их доступ к устройствам SCADA израильских систем водоснабжения. Исследователи не смогли подтвердить эти заявления, но предположили, что хактивисты могли проводить разведывательные операции, нацеленные на этот сектор.
Когда вмешиваются государства
За последними атаками могли стоять хактивисты с более продвинутыми техническими навыками и/или доступом к инструментам и знаниям из киберпреступной среды. Однако нельзя исключать поддержку со стороны государства. Многие страны имеют геополитические и идеологические причины атаковать другие страны и их союзников под прикрытием хактивизма.
СВЯЗАННОЕ ЧТЕНИЕ: Спонсируемые государством или мотивированные финансово: есть ли разница?
На самом деле, группы, предположительно связанные с Россией, похоже, имеют долгую историю таких действий, в том числе под псевдонимом Anonymous Sudan, которые вывели из строя много целей на Западе. Группа заявила об атаке на The Jerusalem Post и несколько других, нацеленных на промышленные системы управления (ICS), включая израильские глобальные навигационные спутниковые системы, сети автоматизации и управления зданиями, а также ICS Modbus. Другая пророссийская группа, Killnet, заявила о выводе из строя веб-сайта израильского правительства и веб-сайта агентства безопасности Shin Bet.
Хотя эти атаки весьма заметны, есть признаки более коварных усилий, спонсируемых государством, маскирующихся под хактивизм. Информационные операции включают использование изображений, сгенерированных ИИ, которые якобы показывают ракетные удары, танки, движущиеся по разрушенным кварталам, или семьи, ищущие выживших под обломками.
Основное внимание здесь уделяется созданию изображений, вызывающих сильную эмоциональную реакцию – например, изображение плачущего ребенка среди обломков бомбы, которое стало вирусным в конце прошлого года. Фейковые аккаунты в социальных сетях и Telegram усиливают дезинформацию. В одном случае владелец X Илон Маск, по-видимому, продвинул пост из фейкового аккаунта, который был просмотрен 11 миллионов раз, прежде чем удалить его.
Исследователи безопасности заметили подозрительно скоординированную активность после атаки ХАМАС – возможно, предполагая участие государства. Одно исследование утверждало, что по крайней мере 30 хактивистских групп немедленно переключили свою активность на конфликт в течение 48 часов.
Как организации могут управлять рисками хактивизма
Во многих отношениях, независимо от того, исходит ли угроза хактивизма от реальных групп, связанных с государственными интересами или самих скрытых государственных оперативников, угроза остается прежней. Такие группы все чаще нацеливаются на организации частного сектора, которые осмеливаются высказываться по политически чувствительным вопросам. В некоторых случаях они могут делать это просто потому, что существует мнение, что организация связана с той или иной стороной. Или же это может быть прикрытием для более скрытых государственных целей.
Независимо от обоснования, организации могут предпринять следующие основные шаги для снижения риска хактивизма:
- Задавайте правильные вопросы: Являемся ли мы целью? Какие активы находятся под угрозой? Каков объем нашей поверхности атаки? Достаточны ли существующие меры для снижения риска хактивизма? Здесь может помочь тщательная оценка киберрисков внешне ориентированной инфраструктуры.
- Устраните любые пробелы, выявленные в ходе такой оценки, включая уязвимости или неправильные конфигурации – в идеале это должно делаться непрерывно и автоматически.
- Убедитесь, что активы защищены от угроз на уровне электронной почты, конечных точек, сети и гибридного облака, и постоянно отслеживайте угрозы с помощью XDR/MDR-инструментов.
- Улучшите управление идентификацией и доступом с помощью архитектуры нулевого доверия и многофакторной аутентификации (MFA), а также отслеживайте подозрительные шаблоны доступа к данным.
- Используйте киберразведку для сбора, анализа и реагирования на информацию о текущих и возникающих угрозах.
- Применяйте надежное шифрование как при хранении, так и при передаче данных для защиты конфиденциальной информации от чтения или изменения неавторизованными сторонами.
- Проводите непрерывное обучение сотрудников и тренинги по осведомленности.
- Сотрудничайте с доверенным сторонним поставщиком для смягчения последствий DDoS-атак.
- Разработайте и протестируйте комплексный план реагирования на инциденты.
Хактивизм – не новость. Но размывающиеся границы между идеологически/политически мотивированными группами и государственными интересами делают его более серьезной угрозой. Возможно, пришло время пересмотреть ваш план управления рисками.