O hacktivismo voltou à consciência geral com a invasão da Ucrânia pela Rússia em fevereiro de 2022. Menos de dois anos depois, grupos e indivíduos com motivações políticas voltaram a agir com força, dessa vez para mostrar seu ponto de vista em meio ao conflito entre Israel e Hamas. É preocupante que os hacktivistas tenham sido vistos usando táticas cada vez mais sofisticadas e agressivas para levar suas agendas à atenção do público.

Talvez ainda mais desconcertante seja a probabilidade de que muitos grupos sejam, de fato, apoiados ou até mesmo constituídos por agentes de estados-nações. As linhas entre as operações cibernéticas patrocinadas por estados-nações e o hacktivismo tradicional se tornaram confusas. Em um mundo cada vez mais caracterizado pela instabilidade geopolítica e pela erosão da antiga ordem baseada em regras, as organizações, especialmente aquelas que operam em infraestruturas essenciais, devem considerar a inclusão da ameaça hacktivista em sua modelagem de riscos.

O que há de novo no hacktivismo?

Em sua forma mais básica, o hacktivismo é o ato de lançar ataques cibernéticos por motivos políticos ou sociais. Como uma indicação da seriedade com que ele é visto agora, a Cruz Vermelha emitiu, no ano passado, oito regras para "hackers civis" que operam em tempos de guerra, observando que os hacktivistas estão cada vez mais causando interrupções em alvos não militares, como hospitais, farmácias e bancos.

Leia mais: Relatório de atividades de APT do quarto trimestre de 2023 a primeiro trimestre de 2024

Como era de se esperar, há poucos sinais de que os hacktivistas estejam aderindo às diretrizes emitidas pela Cruz Vermelha. A atribuição de ataques cibernéticos continua sendo um desafio no ambiente online, tornando os benefícios de se envolver em atividades hacktivistas muito maiores do que os riscos, especialmente se os ataques forem secretamente apoiados por estados-nações.

O velho e o novo

O atual conflito entre Israel e Hamas atraiu um número sem precedentes de ativistas para as ruas de todo o mundo. E, em sincronia, levou a um aumento na atividade on-line. Grande parte disso é semelhante às táticas que vimos em campanhas hacktivistas anteriores, incluindo:

  • Ataques DDoS: De acordo com algumas fontes, a atividade de DDoS impulsionada por hacktivistas no ano passado atingiu o pico em outubro em "níveis recordes, após o conflito entre Israel e o Hamas". Isso fez de Israel o país mais visado pelos hacktivistas, com 1.480 ataques DDoS registrados em 2023, incluindo algumas organizações de grande nome.
  • Desfiguração da Web: Mais de 100 hacktivistas lançaram mais de 500 ataques de desfiguração da Web em sites israelenses na semana seguinte aos ataques de 7 de outubro, de acordo com pesquisadores da Universidade de Cambridge. Desfigurações semelhantes de baixo nível na Web continuam até hoje.
  • Dados roubados: Alguns grupos alegaram ter roubado e publicado dados de Israel e de organizações aliadas. Em outras palavras, os hacktivistas podem se infiltrar em sistemas corporativos para roubar informações confidenciais antes de divulgá-las publicamente para constranger ou prejudicar o alvo.

No entanto, também há sinais de que o hacktivismo está se tornando mais direcionado e sofisticado:

  • Um relatório sugeriu que o grupo hacktivista AnonGhost explorou uma vulnerabilidade de API no aplicativo "Red Alert", que fornece alertas de mísseis em tempo real para cidadãos israelenses. O grupo "interceptou solicitações com sucesso, expôs servidores e APIs vulneráveis e empregou scripts Python para enviar mensagens de spam a alguns usuários do aplicativo", observou. O grupo conseguiu até mesmo enviar mensagens falsas para civis sobre uma bomba nuclear.
  • Outros relatórios observaram que os hacktivistas haviam postado capturas de tela indicando que tinham acesso aos dispositivos SCADA dos sistemas de água israelenses. Os pesquisadores não puderam verificar essas alegações, mas sugeriram que os hacktivistas podem ter conduzido operações de reconhecimento visando o setor.

Quando os estados-nação se envolvem

Hacktivistas com conhecimento técnico mais avançado e/ou acesso a ferramentas e conhecimento sobre o cibercrime clandestino podem estar por trás dos últimos ataques. Entretanto, não se pode descartar o apoio de um estado-nação. Muitos países têm motivos geopolíticos e ideológicos para atacar outros países e seus aliados sob a camuflagem do hacktivismo.

Grupos suspeitos de serem afiliados à Rússia parecem ter um longo histórico de realizar tais atividades, inclusive sob o apelido de Anonymous Sudan, que derrubou muitos alvos no Ocidente. Este grupo reivindicou ataques ao The Jerusalem Post e a vários outros alvos, incluindo sistemas de controle industrial (ICS) como os sistemas israelenses de Global Navigational Satellite Systems, Building Automation and Control Networks, e Modbus ICS. Outro grupo pró-russo, o Killnet, alegou ter derrubado um site do governo israelense e o site da agência de segurança Shin Bet.

Embora esses ataques sejam notadamente de alto perfil, há indícios de esforços mais insidiosos apoiados por estados-nações, disfarçados de hacktivismo. Esses esforços incluem campanhas de desinformação que utilizam imagens geradas por inteligência artificial, alegando mostrar ataques de mísseis, tanques passando por bairros destruídos ou famílias vasculhando os escombros em busca de sobreviventes.

O foco aqui é gerar imagens que provocam uma forte reação emocional, como a de um bebê chorando em meio a destroços de bombas, que se tornou viral no final do ano passado. Contas falsas em redes sociais e no Telegram amplificam essa desinformação. Em um caso notório, o proprietário do X, Elon Musk, aparentemente promoveu uma publicação de uma conta falsa que alcançou 11 milhões de visualizações antes de ser excluída.

Pesquisadores de segurança observaram atividades coordenadas suspeitas após o ataque do Hamas - possivelmente sugerindo o envolvimento do Estado-nação. Um estudo afirmou que pelo menos 30 grupos de hacktivistas direcionaram imediatamente suas atividades para o conflito em 48 horas.

Como as organizações podem gerenciar os riscos do hacktivismo

Em vários aspectos, a ameaça hacktivista persiste, seja oriunda de grupos genuínos, alinhados a interesses estatais ou agentes secretos de estados-nações. Esses grupos estão cada vez mais direcionando suas ações contra organizações do setor privado que se posicionam em questões políticas sensíveis. Em alguns casos, isso ocorre simplesmente por perceberem que a organização está alinhada com um lado ou outro, enquanto em outros casos pode servir como uma cortina de fumaça para objetivos mais obscuros de um estado-nação.

Seja qual for a justificativa, as organizações podem seguir estas etapas básicas de alto nível para reduzir o risco de hacktivismo:

  • Faça as perguntas certas: Você é um alvo? Quais ativos estão em risco? Qual é a extensão de nossa superfície de ataque? As medidas existentes são suficientes para reduzir o risco de hacktivismo? É nesse ponto que uma avaliação completa do risco cibernético da infraestrutura voltada para o exterior pode ajudar.
  • Preencha todas as lacunas reveladas por essa avaliação, inclusive vulnerabilidades ou configurações incorretas - o ideal é que isso seja feito de forma contínua e automatizada.
  • Garanta que os ativos estejam protegidos contra ameaças em uma camada de e-mail, endpoint, rede e nuvem híbrida e monitore continuamente as ameaças com ferramentas XDR/MDR.
  • Aprimore o gerenciamento de identidade e acesso com arquitetura de zero trust e autenticação multifatorial (MFA) e fique atento a padrões suspeitos de acesso a dados.
  • Use a inteligência contra ameaças para coletar, analisar e agir com base em informações sobre ameaças atuais e emergentes.
  • Aplique criptografia robusta, tanto em repouso quanto em trânsito, para proteger os dados confidenciais contra leitura ou modificação por partes não autorizadas.
  • Execute programas contínuos de treinamento e conscientização dos funcionários.
  • Faça parceria com um terceiro de confiança para mitigação de DDoS.
  • Crie e teste um plano abrangente de resposta a incidentes.

O hacktivismo não é novidade. Mas as linhas cada vez mais tênues entre os grupos com motivação ideológica/política e os interesses do governo o tornam uma ameaça mais potente. Talvez seja hora de repensar seu planejamento de gerenciamento de riscos.