Олег Скулкин, BI.ZONE: Те, кто несколько лет назад начали свой путь как хактивисты, уже переходят к финансово мотивированным атакам

За последние годы хактивизм перестал быть просто инструментом протеста и перешел на новый уровень. Новые технологии, политическая поляризация и глобальные вызовы — все это повлияло на мотивы и методы действий хактивистов.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence, рассказал, как эволюционировал хактивизм, какие инструменты используют хактивисты сегодня и какие угрозы хактивизм несет в 2024 году.

Cyber Media: На данный момент термин «хактивизм» стал очень размытым: под ним понимаются и пользователи, которые пытаются буквально «закликать» сайт до отказа в обслуживании, например, из-за несогласия с какой-нибудь пиар-акцией компании. В то же время хактивисты – это организованные группы, которые проводят скоординированные атаки. Что вы вкладываете в понятие «хактивист»?

Олег Скулкин: Действительно, сегодня такие атаки очень разнятся. Тем не менее здесь важна мотивация атакующих: они чаще всего действуют из идеологических соображений и выражают свое несогласие с происходящим. Это, например, могут быть политические конфликты или, скажем, экологическая повестка.

Проводя исследование Threat Zone 2024, мы установили, что в прошлом году таких атак было 9% от общего числа. Это сравнительно немного, учитывая, что с финансовой мотивацией — ради получения выкупа или продажи украденных данных — компании атаковали в 76% случаев, а с целью шпионажа — в 15%.

При этом хактивизмом в некоторых случаях могут заниматься и организованные преступные группы — и здесь это будет не основной их мотивацией.

Cyber Media: Если говорить о типовом арсенале хактивистов, что в него входит, какие утилиты используются чаще всего? Часто ли встречаются кастомизированные решения?

Олег Скулкин: Если говорить о целевых атаках, арсенал преимущественно состоит из различных инструментов с открытым исходным кодом и бесплатных утилит, которые используются злоумышленниками на разных этапах жизненного цикла атаки. Например, Gambling Hyena применяли вайпер Shamoon, который некоторые эксперты ассоциируют с иранскими хакерами.

Что касается кастомизированных решений, они тоже имеют место. Например, это инструменты для реализации DDoS-атак. Кроме того, это может быть и полноценное ВПО. Например, группировка Rainbow Hyena в некоторых атаках использовала Phantom RAT.

Cyber Media: Не так давно в сети распространялась новость о росте сегмента «дешевых шифровальщиков», которые ориентированы на малый бизнес или вовсе отдельных пользователей. Пользуются ли хактивисты подобным ВПО?

Олег Скулкин: Безусловно. На самом деле зачастую им не нужны даже дешевые образцы ВПО. За последние пару лет было несколько утечек билдеров и исходных кодов вымогательского ПО. Например, активно используются утекшие в сеть билдеры программ-вымогателей, например, LockBit.

Это позволяет атакующим, в том числе хактивистам, эффективно использовать их как с целью получения финансовой выгоды, так и для реализации деструктивных атак.

Cyber Media: Два года назад одной из ключевых особенностей хактивистских сообществ была массовость — группы таких организаций в Telegram собирали десятки тысяч пользователей. Сохраняется ли этот тренд сейчас и как выглядит сегодня структура хактивистких группировок?

Олег Скулкин: На данный момент такие атаки чаще реализуются организованными преступными группами. Причем они могут быть похожи на атаки прогосударственных хакеров. Например, хактивисты также могут выгрузить достаточный объем конфиденциальной информации.

При этом если раньше они старались как можно быстрее обнародовать полученную информацию в публичных источниках, то теперь публикуют ее далеко не сразу, не всю и не всегда. Более того, в некоторых случаях публикуется информация о конкретных лицах: военных, политиках и т. п.

Cyber Media: Каким вы видите портрет современного хактивиста с точки зрения его навыков и инструментария? Несколько лет назад считалось, что хактивист — это неосведомленный пользователь, который может только скачать и запустить стрессор, в лучшем случае сделать дефейс сайта.

Олег Скулкин: Безусловно, есть и такие, чьи компетенции заканчиваются на инсталляции ПО для проведения DDoS-атак. Но есть и кластеры, которые ничем не уступают финансово мотивированным или прогосударственным хакерам.

Такие кластеры, как Leak Hyena, Trident Hyena, Gambling Hyena, Twelfth Hyena и Cyber Hyena, за последний год реализовали целый ряд атак, целью которых было как получение доступа к конфиденциальной информации, так и нарушение работоспособности скомпрометированных систем. Для этого использовались и вайперы, то есть программы для уничтожения данных и программы-вымогатели.

Cyber Media: Изменился ли подход ransomware-групп за последние годы? Например, ряд исследователей говорят о росте количества атак с использованием шифровальщиков на малый и средний бизнес: на ваш взгляд, это хактивизм или уже «классическая» деятельность вымогателей?

Олег Скулкин: Это точно не хактивизм, хотя хактивисты тоже используют вымогательское ПО — иногда в целях реализации деструктивных действий, а иногда и с целью получить выкуп. Малый и средний бизнес всегда атаковали довольно активно — с этого многие начинают. Правда, некоторые киберпреступники так и остаются в этой нише.

Если говорить про вымогателей, такие атаки в России и других странах СНГ зачастую начинаются с публично доступного сервера, например, доступного по протоколу удаленного рабочего стола. Злоумышленники применяют перебор паролей, чтобы получить доступ к такому серверу, а потом уже передвигаются по сети и распространяют программу-вымогатель. Так, например, действует кластер активности, который мы именуем Scary Wolf. Эти злоумышленники распространяют программу-вымогатель Phobos.

Есть и другие примеры. Так, Enigma Wolf вместо вымогательского ПО использует легитимное — DiskCryptor. Как и в предыдущем примере, размер выкупа здесь сравнительно небольшой и не превышает 50 000 $, а зачастую и значительно меньше.

Cyber Media: Можно ли говорить, что вскоре нас ждет появление «профессиональных хактивистов», каким вы видите дальнейшее развитие подобных группировок?

Олег Скулкин: Они уже появились. Основное их отличие в том, что часто они не контролируются и не финансируются государством. При этом вполне могут реализовывать целевые атаки на организации, используя инструменты и ВПО, которое также можно увидеть и у финансово мотивированных кластеров активности. Более того, в некоторых случаях они имеют и финансовую мотивацию, например, предлагают заплатить выкуп за то, чтобы не публиковать похищенные данные.

Cyber Media: На ваш взгляд, как рост навыков хактивистов влияет на cybercrime-рынок в целом?

Олег Скулкин: Здесь нужно понимать, что многие хактивисты и так выходцы из традиционной киберпреступности. Причем часто они продолжают ей заниматься, просто используют свои навыки, чтобы компрометировать ранее не самые интересные для них цели, на этот раз для реализации хактивистских задач. Учитывая современный тренд на переход части хактивистских кластеров к атакам ради финансовой выгоды в связи с сокращением их финансирования, мы все чаще будем видеть подобный сдвиг.