
Una tavola rotonda online è stata di recente tenuta da Check Point Italia sull’hacktivismo. Ecco un approfondimento sul tema da parte di Check Point che analizza l’evoluzione del fenomeno, sino a quella che viene definita oggi la nuova era dell’hacktivismo.
Il Background dell’hacktivismo
“L’hacktivismo – sottolineano da Check Point – è sempre stato associato a gruppi come Anonymous, gruppi decentralizzati e destrutturati composti da privati cittadini con differenti backgrounds. Anonymous ha lanciato diverse campagne contro targets variegati, individuati in base alle preferenze e desideri dei suoi membri. Precedentemente, non c’era mai stata alcuna corrispondenza o connessione ideologica fra i membri del gruppo e apparentemente alcuna pianificazione sul lungo periodo. Chiunque, a prescindere dalla fede politica, è sempre stato il benvenuto nei gruppi di hacktivisti.
Storia recente e attuale
Durante l’anno passato, le cose sono cambiate. Per effetto dei molteplici conflitti nell’Europa dell’est e nel Medio Oriente, alcuni gruppi hacker hanno aumentato le loro attività e la loro attenzione rispetto all’attivismo e al cambiamento voluto. Il fenomeno dell’hacktivismo non riguarda più solamente gruppi eterogenei. Ora è meglio organizzato e strutturato, oltre ad essere più sofisticato. Nonostante l’attivismo inizi in specifiche regioni geografiche legate a dinamiche di conflittualità, si è ormai esteso.
I colossi aziendali, i governi europei e quello statunitense sono stati bersagliati da questa forma di hacktivismo emergente. Nei mesi recenti Stati Uniti, Germania, Lituania, Italia, Estonia, Norvegia, Finlandia, Polonia e Giappone hanno subito pesanti attacchi mossi dai gruppi di attivisti, che in alcuni casi hanno avuto un impatto significativo. Gli attacchi recenti hanno interessato non solo i governi di questi Paesi, ma anche grandi aziende come Lockheed Martin, che opera come contraente della sicurezza globale.
I principali gruppi di hacktivisti che hanno agito lo scorso anno condividono diverse caratteristiche proprie delle organizzazioni strutturate: una chiara ideologia politica, una gerarchia dei membri e di leadership ben congegnata, un processo di recruitment formale e anche tools che i gruppi forniscono ai loro membri.
Inoltre, i gruppi sono allineati nella selezione dei bersagli, e in qualche caso, si verifica anche una cooperazione fra di essi. I gruppi svolgono anche consistenti attività di pubbliche relazioni finalizzate a pubblicizzare e promuovere i loro successi anche sui principali canali mediali e siti web. Tutto questo permette ai nuovi gruppi di hacktivisti di mobilitarsi rispetto agli eventi governativi, raggiungendo obiettivi strategici e ad ampio spettro con alto tasso di successo, più che mai – e con un maggior impatto sociale.
I gruppi di hacktivisti non sono più considerati come un gruppo di alcuni individui selezionati randomicamente che, normalmente, mettono in atto attacchi DDoS o azioni di sabotaggio nei confronti di siti web di bassa classifica, bensì sono organizzazioni coordinate che lanciano DDoS su larga scala e azioni di sabotaggio indirizzate ai bersagli scelti e un sistema di pubbliche relazioni con un alto tasso di reach.
Per questo motivo le agenzie e gli organismi governativi dovrebbero considerarsi avvertiti.
Hacktivismo old school
Alcuni esempi di attacchi hacktivisti old school includono campagne come l’Operazione KKK contro i membri e sostenitori del Ku Klux Klan, l’Operazione AntiSec, il cui obiettivo era quello di rubare e pubblicare documenti governativi di natura classificata, e #Opwhales per sostenere la salvaguardia delle balene ed altri. In alcuni casi, ci sono anche state campagne contraddittorie portate avanti da Anonymous nello stesso anno.
Il modello hacktivista del 2022
L’evoluzione dell’hacktivismo è iniziata, silenziosamente, 2 anni fa nel Medio Oriente ad opera di diversi gruppi come Hackers of Savior, Black Shadow e Moses Staff. Tali gruppi hanno concentrato gli attacchi esclusivamente su Israele. La maggior parte di questi non nasconde i rapporti con la propaganda anti-israeliana promossa dal regime iraniano.
Parallelamente, altri gruppi del Medio Oriente, fra i quali il più in vista era Predatory Sparrow, si sono concentrati unicamente nell’attacco di bersagli pro-iraniani: il loro unico piano comune era l’opposizione al regime iraniano.
La programmazione geopolitica che ha mobilitato l’hacktivismo non si limita al Medio Oriente, ma è anche parte essenziale della guerra russo-ucraina. Nella prima parte del 2022, il gruppo dei Belarusian Cyber-Partisans, formatosi nel 2020 per contrastare il governo, ha iniziato a lanciare cyber-attacchi devastanti alle truppe russe per ostacolarle. Il cosiddetto IT Army dell’Ucraina è stato fatto mobilitare dal governo ucraino per attaccare la Russia.
Il nuovo fenomeno dell’hacktivismo ha anche coinvolto gruppi schierati dalla parte della narrativa geopolitica russa, con gruppi come Killnet, Xaknet, From Russia with Love (FRwL), NoName057(16) ed altri ancora. Nonostante questo nuovo modello sia cominciato in aree specifiche e circoscritte, le truppe russe mobilitate hanno rapidamente rivolto la propria attenzione, inizialmente verso l’Ucraina, anche a chiunque altro si opponesse ai piani del governo russo come l’Europa, gli Stati Uniti e anche l’Asia.
Il caso studio Killnet: da est a ovest
Uno dei maggiori attori hacktivisti dell’intero ecosistema è Killnet, che è stato pubblicamente annunciato attorno al febbraio 2022, all’inizio del conflitto russo-ucraino. Il gruppo ha iniziato le sue attività aggressive a marzo, con obiettivi primariamente ucraini. Ad aprile il gruppo ha completamente cambiato l’oggetto della sua attenzione che si è rivolta al supporto degli interessi geopolitici russi in tutto il mondo. Tra fine febbraio e settembre, il gruppo afferma di aver portato a termine più di 550 attacchi. Solo 45 di questi erano indirizzati all’Ucraina: meno del 10% del numero di attacchi totale.
Molti di questi attacchi erano diretti a obiettivi di alto profilo come i principali siti governativi, grosse compagnie finanziarie, aeroporti e molto altro. Mentre in alcuni casi è difficile comprendere l’impatto reale, in altri casi gli attacchi hanno chiaramente avuto successo. Hanno causato inattività ai principali siti web, molti dei quali fornitori di servizi pubblici essenziali.
Leadership, recruitment e strumenti
Struttura organizzativa
I più grandi gruppi di hacktivisti che sono emersi nel corso dell’anno passato sono caratterizzati dalle loro operazioni ben strutturate che li mettono nelle condizioni non solo di realizzare ondate di attacchi targettizzati, ma anche di attrarre persone con maggiori skills. Queste persone sono solitamente motivate da una chiara ideologia legata allo Stato e i loro obiettivi sono parte di un manifesto che contiene un elenco di regole da seguire.
Per esempio, Killnet ha più di 89.000 iscritti sul suo canale Telegram ed è organizzata secondo una struttura militare con una gerarchia marcatamente top-down. Killnet consiste in un insieme di squadre preparate ad eseguire attacchi che rispondano ad un ordine principale.
Attualmente esistono una dozzina di sotto-gruppi fra i quali il primario è Legion. Tutti questi gruppi sono guidati da un hacker anonimo con nickname KillMilk, che ha annunciato la sua intenzione di distaccarsi dal gruppo a luglio, rimanendo ancora coinvolto nelle attività del gruppo. Legion e le squadre (conosciute come: “Jacky”, “Mirai”, “Impulse”, “Sakurajima”, “Rayd”, “Zarya”, “Vera”, “Phoenix”, “Kajluk”, “Sparta” and “DDOSGUNG”) sono considerate le forze speciali di Killnet, con Legion identificata come la sua forza di cyber-intelligence.
Tanti piccoli teams sono organizzati attorno al maggiore gruppo ed il suo leader principale KillMilk, che assegna ordini d’attacco a ciascun capogruppo, che dà vita a infrastrutture indipendenti, migliorando inevitabilmente le probabilità di sopravvivenza dell’intera organizzazione. Questo metodo si è dimostrato efficace dal momento che la squadra continua a reclutare membri, crescendo numericamente. La pagina Telegram contiene regole, discussioni riguardanti gli obiettivi e le istruzioni rispetto a creare/unirsi a nuove squadre per i membri che cercano autonomia o un avanzamento gerarchico. L’evoluzione di Killnet li ha messi nella situazione in cui gli altri gruppi vogliono collaborare con loro, o ufficialmente unire le forze.
Recruitment
Un nuovo interessante fenomeno riguarda i metodi di reclutamento del gruppo. Diversamente da Anonymous, che è orgoglioso di dare il benvenuto a chiunque, senza imporre alcun prerequisito riguardante skills o piani specifici, la nuova era hacktivista accetta solo membri che rispettano prerequisiti minimi.
Molti gruppi come Killnet e le sue squadre, scelgono di investire in programmi di recruitment congrui, pubblicizzati sui loro canali Telegram. Alcuni gruppi hanno istituito un processo di pre-selezione per assumere solo hackers competenti o esperti di un particolare campo, per ridurre il rischio di fare errori che potrebbero compromettere l’intera operazione.
In ogni caso, Check Point Software ha recentemente osservato che KillNet affida le istruzioni sugli attacchi DDoS alle masse, forse a causa della mancanza di forza-lavoro necessario per portare a termine le azioni pianificate. In molteplici occasioni abbiamo anche visto KillNet offrire ricompense agli individui responsabili di atti di vandalismo fisico e non virtuale in Ucraina.
Il processo di recruitment è simile per molti gruppi russi. Per esempio, XakNet (che si considera come il “Team dei Patrioti Russi”) è un gruppo di utenti russi attivo all’incirca da marzo 2022. Questo minacciava di contrattaccare contro le organizzazioni ucraine per qualunque attacco cyber portato avanti contro la Russia e ha individuato diverse entità interne all’Ucraina che hanno rubato contenuti di un e-mail ufficiale del governo ucraino.
XakNet ha dichiarato che non recluteranno hackers, pentesters (specialisti nell’esecuzione di test di vulnerabilità di siti web), o specialisti OSINT senza esperienza e capacità dimostrate. Altri gruppi come quello pro-Russia NoName057(16), potrebbe offrire un training tramite diversi mezzi come le piattaforme di e-learning, tutorials, corsi e attività di mentoring.
Strumenti e abilità tecnologica
I gruppi di hacktivisti si sforzano di utilizzare strumenti più avanzati per eseguire i loro attacchi, dal momento che più gli attacchi arrecano danni, più il gruppo guadagna in termini di notorietà ed esposizione. Abbiamo visto globalmente alcuni segni di tattiche avanzate, ma con l’immediata e ripetitiva natura delle campagne hacktiviste, la maggior parte dell’attività era concentrata attorno agli attacchi DDoS tramite il ricorso a enormi botnet (rete di computers collegati alla rete telematica che passano sotto il controllo di un’unica entità).
In conclusione
Una delle escalations più significative dei vari conflitti che si sono verificati negli anni, può essere identificata come l’attivismo nell’ecosistema del cyberspazio. Nel corso del decennio precedente, l’hacktivismo era prevalentemente un termine in voga, che non poneva rischi significativi alle organizzazioni globali. Essendo diventato più organizzato, strutturato e sofisticato l’hacktivismo ha inaugurato una nuova era.
Ciò che preoccupa è che molti gruppi di hacktivisti hanno un’agenda di attività legate agli Stati e sono asserviti agli specifici interessi e di specifici governi. Anche se questa dinamica si è manifestata inizialmente in specifiche aree di conflitto, vediamo già la sua diffusione verso occidente ed oltre. Ci aspettiamo inoltre che gli operatori hacktivisti implementino il loro arsenale e scatenino attacchi di disturbo per un Paese. Un’altra crescente preoccupazione è rappresentata dall’ispirazione generata dai gruppi di hacktivisti nei governi, che potrebbe significare l’evoluzione di questa attività in un fenomeno di lungo termine” concludono da Check Point.