Хактивизм: инструмент давления или мина замедленного действия?

Хакерский активизм или хактивизм (от англ. Hacktivizm) – это уже не просто явление в информационной безопасности, а полноценный социальный тренд. С плодами деятельности хактивистов ежедневно сталкиваются десятки тысяч людей, которые пытаясь получить доступ к популярным сайтам, встречают неожиданные, провокационные заявления на сайтах новостных изданий.

С технической точки зрения, хактивисты используют те же методы и технологии, что и любые другие хакеры. Это отчасти справедливо и для вредоносного программного обеспечения, которое доступно хакерам-активистам.

Вместе с тем, хактивизм заметно отличается от других форм хакинга практически во всех ключевых проявлениях. В этой статье будут разобраны основные признаки хактивизма, предпосылки его развития и обозримые перспективы.

Две причины развития хакерского активизма

Наиболее весомыми и определяющими выглядят два фактора, которые оказывают влияние на развитие хактивизма во всем мире. Первый из них сугубо социальный, и обусловлен тем, что хакерская активность выступает в роли формы протеста. Этому способствует высокий уровень цифровизации общества и распространение современных технологий.

Получается, что хактивизм в чем-то родственен публичным заявлениям в социальных сетях, только с более явным ощущением результата: если публикацию можно проигнорировать, то условную DDoS-атаку (особенно если она многочисленна) не заметить уже не получится. А если сайт «ляжет», то и огласка в СМИ практически обеспечена.

Александр Герасимов

CISO Awillix

Для того, чтобы привлечь к себе наибольшее внимание целью хактивистов часто выступают СМИ и гос. компании. В основном атаки проводятся из-за религиозных и политических конфликтов.

Хактивисты используют DDOS-атаки для приостановки ресурсов, взламывают сайты для получения конфиденциальной информации или дефейса. Как правило хактивисты — лица с небольшой технической базой, используют автоматизированные средства для атак. Ущерб от их атак обычно сопоставим со стоимостью простоя взломанного сервиса. Поскольку хактивисты не всегда заботятся о своей анонимности, чаще всего их очень быстро находят и привлекают к ответственности.

Второй компонент развития хактивизма целиком принадлежит к миру ИБ и вызывает наибольшие опасения – это доступность средств атаки на цифровые ресурсы. Благодаря развитию сервисной модели, уже не нужно понимать, как работает ВПО, достаточно буквально нажать пару кнопок и указать ссылку на цель.

Владислав Лужников

Аналитик технологий обмана (Deception) в компании R-Vision

Оценить ущерб и масштаб от деятельности хактивистов зачастую сложно. Преимущественно организации, сталкивающиеся с действиями таких группировок, стараются не распространяться об этом факте и тем более не разглашать информацию о последствиях. В первую очередь из-за рисков, связанных с репутационными потерями. Сегодня достаточно даже одного случая утечки данных, чтобы авторитет организации снизился. За счет публичной демонстрации неспособности жертвы противостоять угрозе злоумышленников происходит подрыв доверия к государству, бизнесу или частному лицу.

Хакеры-активисты осуществляют атаки не столько ради финансовой выгоды, сколько ради выражения своей политической, социальной или иной позиции. Эффективность подобных акций зависит от многих факторов: мотивации, цели, профессионализма, численности группы хакеров, а также психо-эмоционального состояния субъектов атак.

Исследования вредоносной активности с использованием honeypot’ов (специализированных приложений-ловушек, имитирующих реальные сервисы и собирающих информацию о действиях атакующего) показали рост числа акций с участием хактивистов. 

В этом контексте показателен пример с сервисом DDoSia Projekt, который позиционируется как средство тестирование нагрузки на ресурс, но, судя по информации из телеграмм-каналов ряда хакерских групп, используется как раз хактивистами.

Ущерб от хактивизма

В начале ноября представители Федерального бюро расследований США сделали заявление, что атаки хактивистов практически не влияют на работу критически важных организаций. Однако, ситуация выглядит двояко, поскольку:

1. Даже если атака не нанесла никакого вреда инфраструктуре, она привела к дополнительной нагрузке на профильных специалистов. «В моменте» это может быть и не критично, но когда таких атак сотни – возрастают риски того, что за обилием типовых атак специалисты просто пропустят целевую.
2. Зачастую, цель хактивистов – не прямой урон, а заявление. В этом контексте сам факт того, что ФБР о них говорит – уже определенный успех, особенно если информация была подхвачена СМИ.

Иван Чернов

Менеджер по развитию UserGate (эксперт в сфере информационной безопасности)

Насколько мы видим, интерес к российским компаниям и госструктурам со стороны злоумышленников с начала года существенно вырос. При этом атаки становятся совершеннее, а их тактики – разнообразнее. Если раньше хакеры-одиночки, руководствующиеся только финансовой выгодой, встречая грамотно организованную систему безопасности, обычно шли на попятный, то сейчас появились новые виды киберпреступности в сети – целенаправленной и настойчивой. Например, такое явление как «хактивизм» (англ. Hacktivism – слияние слов «хакер» и «активизм») – это атаки, организованные по идейным соображениям.

Деятельность «хактивистов» не сопряжена с поиском коммерческой выгоды, она направлена на достижение результата – обязательное причинение адресного ущерба конкретным объектам и системам государственных и коммерческих организаций. Это означает гораздо более высокую степень опасности таких атак, а значит диктует свой особый подход к защите от них.

Исходя из того, что хактивисты редко обладают высокими техническими компетенциями, и нацелены преимущественно на медийный результат своих действий, можно выделить два главных инструмента их атак:

1. DDoS-атаки. Как правило, это низкоуровневые атаки типа «отказ в обслуживании». Они просты и достаточно автоматизируют, после установки стрессера от пользователя требуется буквально пара минут на запуск.
2. Defacement. «Дефейс» – это замена содержимого одной или нескольких страниц сайта на «авторский контент», заявление о намерениях группы хактивистов или иное послание.

Павел Коростелев

Руководитель отдела продвижения продуктов компании «Код Безопасности»

Многое зависит от того сколько хактивистов, насколько устойчив их интерес к цели и насколько они организованы. Еще можно добавить уровень квалификации, но это, скорее, вторичный параметр: если хактивистов много, если они организованы и мотивированы, то способны принести немало проблем.

Эти проблемы могут выражаться, например, в постоянных DoS-атаках, потому что если пользователей много, то система защиты от Dos будут работать плохо. Впрочем, надо понимать, что хактивизм волнообразен, поэтому в определенный момент атаки затухают.

Хактивистов отличает два момента: во-первых, их много, во-вторым у них большой разброс в квалификации, хотя средний уровень, как правило, не очень высокий. Соответственно, и инструменты они используют такие, которые не требуют серьезных навыков.

Также, говоря о хактивистах, можно отметить недостаточность планирования, то есть их атаки не такие продуманные, как у полноценных группировок. Однако «сюрпризы» могут быть, потому что, если вас ковыряет тысяча муравьев, то кто-нибудь так или иначе пролезет.

Отдельно можно выделить профессиональных хакеров, которые участвуют в деятельности хактивистов (как правило, в качестве координаторов). Они используют более широкий спектр технологий, вплоть до разработки нового ВПО. Так, недавно «нашумел» вайпер Azov, создатели которого пытались подставить известных ИБ-специалистов мирового уровня, записав их в авторы зловреда.

Опасность хактивизма как явления

Ивано Король

Разработчик ПО Anwork

Самые масштабные кражи данных способны разорить компанию, так как расходы будут по всем перечисленным направлениям. Поэтому итоговую сумму ущерба можно рассчитать, сложив издержки по каждому источнику расходов. В 2022 году стоимость ущерба достигла рекордных показателей, увеличившись до 4,35 миллиона долларов или примерно 265 611 000 рублей. Это на 2,6% больше, чем в 2021 году и на 12,7% по сравнению с 2020 годом.

Главная опасность хакерского активизма видна в долгосрочной перспективе, поскольку такая деятельность вполне может быть «точкой входа» в хакерскую деятельность. В первую очередь, потому что хактивизм «заигрывает» с мнением отдельных социальных групп или части общества, выглядит в ее глазах делом, как минимум, не порицаемым.

Велик риск, что человек, который начал свою «карьеру» с хактивизма, впоследствие будет втянуть в куда более сомнительную деятельность. Например, начнет применять полученные знания и навыки, вкупе с методами социальной инженерии, для личного обогащения, заниматься фишингом, кардингом или другой нелегальной активностью.

Учитывая тот факт, что сейчас хакерским активизмом занимаются тысячи людей по всему миру, даже один процент от них, которые решат продолжить развиваться в этом направлении – это сотни потенциальных хакеров уже через несколько лет, и десятки потенциально высококвалифицированных представителей профессиональных группировок в достаточно обозримом будущем.

Почему стоит дважды подумать, прежде чем стать хактивистом

В конечном итоге, хактивизм – это личный выбор каждого. Однако, любому человеку важно правильно осознавать возможные перспективы. И в контексте хакерской активности все далеко не так безоблачно, как может показаться.

Здесь важно упомянуть о разнице между легитимностью и легальностью. Легитимность – это когда основателя хакерской группы Killnet приглашают на интервью большие прогосударственные каналы, такие как Дума ТВ. А новости об атаках группы не только тиражируются ведущими информационными агентствами, но и встречают одобрение со стороны общества.

Легальность – это буква закона. И ни в одной стране хактивизм не считается положительным явлением. Нет прописанной градации, разделяющей ресурсы, которые можно или нельзя атаковать. Таким образом, хактивист и хакер для закона равны, а значит и риск уголовного преследования становится реальным сразу после запуска ВПО на своем устройстве.

Чтобы проиллюстрировать возможные перспективы, можно прибегнуть к аналогии: что будет, если группа людей устроит несогласованный «отказ в обслуживании» физическим способом, то есть просто будет удерживать взаперти двери конкретной компании, посольства или государственной организации? Реакция в киберпространстве может быть не сиюминутной, но вполне ощутимой. Например, в виде на экстрадицию, штрафа или запрета на въезд в определенную страну.