З початку 2022 року Mandiant спостерігав пожвавлення та активізацію загрозливої активності від акторів, які використовують тактики та методи хактивізму. Це сталося через десятиліття після того, як хактивізм вперше з’явився як форма онлайн-активізму, і через кілька років після того, як багато захисників востаннє вважали хактивізм серйозною загрозою. Однак це нове покоління хактивізму виросло до більш складного та часто ефективного поєднання тактик, які різні актори використовують для досягнення своїх конкретних цілей.
Сучасні хактивісти демонструють розширені можливості як у вторгненнях, так і в інформаційних операціях, що демонструється рядом дій, таких як виконання масових підривних атак, компрометація мереж з метою витоку інформації, проведення інформаційних операцій і навіть втручання в процеси фізичного світу. Вони використали свої навички, щоб отримати популярність і репутацію, просувати політичні ідеології та активно підтримувати стратегічні інтереси національних держав. Анонімність, яку забезпечують хактивістські персони, у поєднанні з низкою цілей, які підтримують хактивістські тактики, зробили їх найкращим вибором як для державних, так і для недержавних акторів, які прагнуть впливати через кіберсферу.
У цій публікації в блозі представлено аналіз Mandiant ландшафту загроз хактивізму та надано аналітичні інструменти для розуміння й оцінки рівня ризику, створеного цими групами. На основі багаторічного досвіду відстеження активістів-активістів, їхніх претензій і атак, наше розуміння покликане допомогти організаціям зрозуміти та визначити пріоритетність значущої загрози щодо їхніх власних мереж і капіталу.
Проактивний моніторинг загроз хакерів, необхідний захисникам для передбачення кібератак
Mandiant вважає діяльність хактивізмом, коли актори стверджують або здійснюють напади з публічно заявленим наміром брати участь у політичній чи соціальній активності. Великі масштаби відродження хактивізму є критичним викликом для захисників, яким необхідно заздалегідь просіювати шум і оцінювати ризик, який становить безліч акторів із різним ступенем досвідченості. У той час як у багатьох випадках хактивістська діяльність представляє незначну загрозу, у найбільш значущих хактивістських операціях, які Mandiant відслідковував, суб’єкти загрози навмисно розподіляли кілька тактик у гібридних операціях таким чином, щоб ефект кожного компонента посилював інші. У деяких випадках національні державні суб’єкти навмисно використовували тактику хактивізму для підтримки гібридних операцій, які можуть завдати серйозної шкоди жертвам. Оскільки обсяг і складність діяльності зростає, а нові актори використовують тактику хакерства, захисники повинні визначити, як фільтрувати, оцінювати та нейтралізувати низку нових і нових загроз. Проактивний моніторинг загроз хактивістів принесе багато переваг захисникам:
- Моніторинг повідомлень і дій, пов’язаних із неактивністю, може надати захисникам раннє попередження про загрозливу діяльність з боку досвідчених акторів. Це не тільки через відкриту природу хактивізму, але й через його використання для маскування діяльності національних держав і злочинців.
- Збільшення частоти та розмаху хактивізму за останні два роки становить загрозу для широкого кола організацій. Навіть якщо більшість атак не призводять до значних наслідків, захисникам необхідно проактивно відфільтрувати обсяг незначної активності, щоб визначити ознаки суттєвого націлювання на їхні організації та підготувати стратегії пом’якшення.
- Хактивістські атаки часто надихаються глобальними подіями, але вони часто спрямовані проти організацій, які не обов’язково відіграють роль у самій події. Націлювання на, здавалося б, непов’язані між собою організації дозволяє суб’єктам заявляти про атаки більшого масштабу та вибирати цілі високого рівня, такі як критична інфраструктура чи великі підприємства, намагаючись підвищити престиж групи та розголос своїх атак. Проактивний моніторинг дозволяє захисникам визначати, коли організація чи регіон загалом перебувають у групі підвищеного ризику, які події можуть передувати атакам хактивістів і коли хактивісти розпочали кампанії, націлені на подібні галузі чи організації.
- Загроза ще більша для мереж, розташованих у регіонах і галузях з нижчою зрілістю кібербезпеки, де жертви також мають більшу ймовірність зіткнутися зі значним або тривалим впливом цієї діяльності. У таких випадках проактивний моніторинг відіграє ту ж роль, що й інші механізми виявлення, дозволяючи організаціям виявляти та пом’якшувати безпосередні загрози своїм мережам.
Нове покоління хактивізму: збільшений масштаб і витонченість
Термін «хактивізм» був введений у середині 1990-х років членом хакерського колективу Cult of the Dead Cow. Спочатку це стосувалося «онлайн-активізму», коли актори намагалися завдати шкоди жертві, здійснюючи атаки, щоб вплинути на аудиторію та донести політичні чи ідеологічні переконання. На початку більшість хактивістських груп стверджували, що їх мотивують цілі проти влади, які загрожували урядам і політичним інституціям. На початку 2010-х учасники хактивізму, як-от ті, що пов’язані з колективом Anonymous, зробили мережі менш стійкими до таких загроз, як розподілені атаки типу «відмова в обслуговуванні» (DDoS), що часто призводило до широкої уваги ЗМІ. Оскільки кібербезпека розвивалася, а мережі ставали стійкішими — наприклад, із створенням мереж доставки контенту (CDN) — і оскільки правоохоронні органи в деяких регіонах вживали судових заходів проти цих учасників, антиістеблішментський хактивізм як рух і його методи втратили актуальність час.
Після багатьох років операцій здебільшого низької інтенсивності та слабкого впливу ми спостерігали значне відродження нових хактивістських груп і тактик навколо початку російського вторгнення в Україну та конфлікту Ізраїлю та ХАМАС. Різноманітні хактивістські персони та групи оголосили про свою відданість сторонам у цих конфліктах і націлилися на довгий список організацій та урядів, які підпадають під таку прихильність. Вплив їхніх атак не обмежувався зацікавленими сторонами, залученими в конфлікт, але також перетинав кордони, щоб націлитися на третіх сторін із слабкими зв’язками, такими як національність, комерційні відносини чи протилежна лояльність.
Ця нова хвиля хактивістської активності відрізняється від історичної діяльності, зокрема масштабом і широтою груп і діяльності. Деякі актори-хактивісти продемонстрували підвищену спритність, більш ефективно проводячи атаки паралельно з повідомленнями, щоб рекламувати свою загрозливу діяльність і впливати на аудиторію. Сьогодні хактивізм більше не складається лише з малоздатних акторів, мотивованих ідеологіями, які відображають «традиційний» хактивізм, спрямований проти істеблішменту. Ми спостерігали більш часту зміну в бік геополітично та фінансово вмотивованих груп, які намагаються маскувати загрозливу діяльність через хактивістські фасади. Хоча концепція використання хактивістського фасаду як прикриття для спонсорованої державою діяльності існує щонайменше десять років, ми раніше не спостерігали частоти, обсягу та інтенсивності загальної хактивістської діяльності, порівнянної з сьогоднішньою.
Зауважимо, що хактивісти не обов’язково діють за однією мотивацією. Зазвичай така загрозлива діяльність коливається між різними категоріями і навіть змінюється паралельно з еволюцією групової динаміки. Як наслідок, розуміння мотивів, що стоять за загрозливою діяльністю хактивістів, потребує контекстуального аналізу, проведеного з часом.
Медіум – це повідомлення: просування стратегічних повідомлень хактивістами дозволяє акторам проводити інформаційні операції
Вплив є центральним компонентом атак хактивістів, і хактивізм часто поєднується за функцією з таємними інформаційними операціями, які включають використання оманливих тактик для маніпулювання інформаційним середовищем. Завдяки стратегічному наративному просуванню, увімкненому за допомогою хактивістських персон, оператори можуть максимізувати реальний чи уявний вплив атак або привернути увагу для просування своїх планів. Mandiant вважає діяльність хактивізмом, коли заява актора прямо вказує або передбачає, що їхній намір полягає в політичній або соціальній активності, і передбачає комбінацію трьох ключових тактик: розвиток особистості, індивідуальні повідомлення та часто руйнівна кіберактивність. Примітно, що ці тактики мають вирішальне значення для того, щоб хактивізм міг досягти такого впливу. Хоча існує багато факторів, які ймовірно сприяють відродженню хактивізму, як зазначалося раніше, вбудовані механізми для передачі повідомлень і маскування їх ідентичності, ймовірно, є частиною причини, чому хактивістська тактика приваблива для акторів з різними мотиваціями.
Актори, які використовують тактику хактивізму, використовують явні персони, щоб приховати особистість своїх справжніх операторів і, у деяких випадках, створити враження органічної суспільної підтримки певної проблеми чи події.
Хактивісти рекламують свої повідомлення найчастіше через прямі претензії або на пов’язані з ними онлайн-ресурси, наприклад у соціальних мережах або на сайтах, що належать акторам. Сенс також може бути вбудований у саму атаку, наприклад, через розповсюдження «заплямованих витоків», які містять змінену чи неправдиву інформацію, або проведення масових DDoS-кампаній паралельно з геополітичними чи культурними подіями. Стратегічне націлювання та інші резонансні заяви також допомагають групам підвищити ймовірність отримати висвітлення в ЗМІ.
Mandiant наголошує на важливості ретельного аналізу групових повідомлень, претензій і будь-яких незалежних доказів, перш ніж робити висновки щодо мотивації, здібностей або ефективності суб’єкта, оскільки хактивістська тактика стимулює таких суб’єктів посилювати вплив їхніх дій і робити в іншому випадку неточними чи масовими. сфабриковані претензії. Правильне розуміння персонажів хактивістів і впливу їхніх дій потребує послідовного аналізу протягом тривалого часу та в контексті спілкування з іншими акторами. У деяких випадках отримати незаперечні докази неможливо.
Геополітично вмотивовані хактивісти часто просувають стратегічні цілі від національних держав
Враховуючи невід’ємне збіг між компонентами хактивістської тактики та інформаційних операцій, геополітично мотивовані хактивістські актори часто допомагають досягати стратегічних цілей від національних держав. Хоча в більшості випадків хактивісти, ймовірно, діють незалежно, ми також виявили нещодавні випадки, коли актори тісно пов’язані з фінансованими державою групами кібершпигунства.
Геополітично вмотивовані хактивісти, пов’язані з національними державами
Деякі спонсоровані національною державою актори створили хактивістські вирізки або встановили зв’язки з хактивістськими персонами як прикриттям для власної діяльності. Хактивістські персони надають таким акторам механізм поширення повідомлень, які в іншому випадку були б таємними діями, але з завісою правдоподібного заперечення їх діяльності в кіберзагрозах. У таких випадках хактивістські повідомлення можуть допомогти привернути увагу до конкретних наративів або навіть вплинути на події в реальному житті, що призведе до фізичних наслідків, тоді як правдоподібне заперечення використання цих вирізок розширює загрозу як для прямих, так і для третіх сторін, пов’язаних з будь-якою подією чи проблемою. Хактивістські персони також пропонують добре забезпеченим акторам можливість розвивати та/або використовувати стійкі активи та хактивістські бренди, які збільшують вірогідність того, що їхні повідомлення досягнуть бажаної цільової аудиторії.
- У 2024 році ми опублікували звіт, у якому описано, як російська військова група APT44 (також відома як Sandworm, FROZENBARENTS і Seashell Blizzard) культивувала персонажів хактивіста як актив, щоб взяти на себе відповідальність за низку підривних операцій під час війни та розширити наратив успішного зриву.
- Загальнодоступні джерела також вказали на фінансування національною державою хактивістських груп, таких як проіранські CyberAv3ngers, які уряд США пов’язує з Корпусом вартових ісламської революції (IRGC), і проізраїльський «Gonjeshke Darande» («Хижий горобець»), який Іранський уряд приписав Ізраїлю.
- Ще в 2014 році відома атака, спрямована на Sony Pictures Entertainment, показала, що національні держави використовують хактивістські бренди для участі в кіберзагрозах. Федеральне бюро розслідувань США (ФБР) приписало цю атаку уряду Північної Кореї, під час якої фальшиві хактивісти під назвою Guardians of Peace (#GOP) знищили інфраструктуру Sony і зробили витік великого обсягу конфіденційної інформації.
Геополітично мотивовані хактивісти, які, ймовірно, діють незалежно
Незважаючи на те, що багато останніх активних гучних хактивістських груп, які ми відстежуємо, прямо описують свою діяльність як підтримку інтересів національної держави, ці обіцянки вірності не обов’язково означають, що всі такі групи пов’язані з національними державами. Ми також неодноразово спостерігали хактивістські групи, які, здається, діють незалежно, але керують своїми операціями тлумаченнями політичної риторики та політичних цілей, які повідомляють лідери національної держави або політичних груп, які вони підтримують. У цьому випадку, хоча загрозливою діяльністю може не керувати національне керівництво, вона все одно служить для досягнення конкретних цілей.
- Наприклад, 18 червня 2022 року Литва ввела заборону на транзит залізничним транспортом вантажів, які потрапили під європейські санкції, до російського далекозахідного ексклаву Калінінград. Після накладення заборони проросійські хактивістські групи оголосили про атаки на литовські організації в багатьох секторах після того, як російське керівництво попередило, що дії Литви матимуть наслідки. Атаки тривали, поки обидві країни не досягли консенсусу.
- У деяких випадках ми спостерігали кампанії, які можуть тривати тривалий час або відроджуватися різними групами з часом. Ось такий випадок повторюваних сплесків хактивістської активності, які ми часто спостерігаємо на Близькому Сході, пов’язаних із такими святами, як День Кудса чи повторюваний #OpIsrael, який щонайменше з 2013 року збільшився, щороку включає всі види хактивістської діяльності, націленої на Ізраїль.
Outlook
Незважаючи на певну схожість із оригінальними хактивістськими групами, які вперше виникли понад десять років тому, сучасна хвиля хактивізму демонструє чіткі характеристики, які постійно розвиваються. Однак динаміка того, як це нове покоління хактивізму взаємодіє з багатьма компонентами кіберзагрози та покладається на них, є складною і погано сформульована поточним аналізом. Сучасна хактивістська тактика використовується різноманітними акторами з різними мотиваціями та покладається на низку методів, пов’язаних із кібервторгненням та інформаційними операціями. Кожна персона хактивіста використовує власний набір прийомів і діє по-різному, щоб підтримувати власну ідеологію, впливати на геополітичні події або отримати фінансову вигоду.
Захисники повинні активно намагатися зрозуміти, як ці групи діють і взаємодіють, яким методам вони віддають перевагу або які досягли найбільшого успіху, а також інші компоненти їх діяльності, щоб побудувати ефективний захист і політику проти цих акторів. Основним викликом у боротьбі з цією загрозою є те, що учасники хактивізму використовують методи з різних областей, поєднуючи методи, які спільнота безпеки часто відслідковує окремо та по-різному. Ми маємо намір вирішити цю проблему в наступній публікації в блозі.
