Hacktivismo 2.0: Quando por trás do “Anônimo” existe um Estado

Um reservatório de água transborda no Texas, serviços de notícias russos são desativados no aniversário de Putin, instalações de saúde italianas são atingidas por ataques DDoS, sistemas de controle industrial são infiltrados por malware especializado. O'hacktivismo Parece que voltou à moda, mas há algo profundamente diferente em comparação ao passado. Quantas vezes nos encontramos percorrendo notícias de ataques cibernéticos atribuídos a grupos de “ativistas digitais” pró-isso ou pró-aquilo, imaginando-os como rebeldes tecnoanarquistas lutando contra o sistema? A realidade que emerge da análise de especialistas em segurança é outra, quase um segredo aberto: por trás de muitas dessas operações estão escondidas agências governamentais, inteligência militar e unidades cibernéticas ofensivas bem organizadas. O hacktivismo, em termos simples, se tornou a máscara perfeita para operações estatais que não querem ser identificadas como tal. Mas vamos dar um pequeno passo para trás.

A Face Oculta do Hacktivismo Moderno

O hacktivismo contemporâneo tem pouco em comum com os “vândalos digitais” das décadas de 90 e 2000. Não se trata mais de desfigurações de sites ou manifestos políticos digitais. Especialistas em segurança concordam em um ponto: as táticas, os objetivos e o momento sugerem algo calculado e bem conectado aos interesses dos Estados-nação.

No início do ano, Dragos (empresa de segurança cibernética especializada em tecnologia operacional) revelou que emAbril 2024 o grupo pró-ucraniano BlackJack comprometeu uma organização municipal de Moscou que gerencia o sistema de comunicações das redes de gás, água e esgoto da cidade. Eles não apenas penetraram em roteadores e gateways, mas implementaram um malware específico para sistemas de controle industrial chamado Fuxnet. Segundo Dragos, este é apenas o oitavo malware ICS (Sistema de Controle Industrial) conhecido no mundo. Não é exatamente o tipo de ferramenta que você esperaria de ativistas amadores.

As coisas que estão acontecendo agora sob o disfarce de hacktivismo (talvez independente, ou talvez patrocinado pelo estado, mas, no mínimo, os estados estão intencionalmente olhando para o outro lado) são grupos altamente sofisticados que agora fazem coisas destrutivas.

Evan Dornbush, ex-operador de rede de computadores da NSA, acertou em cheio: estes não são “apenas cidadãos preocupados a torcer pelo seu país”. São mecanismos usados ​​deliberadamente para fornecer aos estados uma negação plausível.

O ressurgimento do hacktivismo como ferramenta de guerra

O “renascimento” do hacktivismo não coincide com a eclosão do conflito na Ucrânia em 2022. A “irmandade” dos hackers de língua russa se dividiu e vários grupos, como Killnet, Rússia anônima e Sudão anônimo eles se aliaram aos interesses do Kremlin. No entanto, os primeiros ataques, embora pesados, não foram muito bem-sucedidos: principalmente DDoS (Distributed Denial of Service) de nível “incômodo” contra sites públicos de infraestruturas críticas. Mas as coisas mudaram rapidamente.

Como enfatizado John Hultquist, analista-chefe do grupo de inteligência de ameaças da Google: “Uma das coisas mais notáveis ​​sobre o hacktivismo: raramente se trata tanto de impacto quanto de visibilidade. As alegações muitas vezes superam a realidade.” Isso obviamente não significa que os ataques hacktivistas tenham impacto zero. O impacto psicológico é real e pode minar a confiança do consumidor em uma empresa, agência governamental ou processos críticos como eleições.

La série de tentativas Grupo CyberArmyofRussia_Reborn1 para interromper os sistemas de água do Texas no começo do 2024 teve exatamente esse tipo de impacto. Apenas uma intrusão conhecida causou um mau funcionamento, levando ao transbordamento de um tanque de água. Eles não envenenaram o abastecimento de água nem impediram as pessoas de abrirem as torneiras de suas casas e beberem água limpa. Mas eles cruzaram uma linha vermelha.

A Acessibilidade do Hacktivismo

Não quero dar a impressão de que todos os hacktivistas são agentes do governo disfarçados. Esses grupos e suas motivações abrangem todo o espectro. Além disso, como costuma acontecer com muitas coisas na vida, a tecnologia moderna facilita o trabalho deles. Sítios DDoS de aluguel (também conhecidos como booters ou estressores), corretores de acesso inicial que vendem credenciais roubadas que outros criminosos podem usar para hackear computadores e a mercantilização mais ampla do crime cibernético estão diminuindo as barreiras de entrada para criminosos que buscam realizar qualquer tipo de ataque cibernético.

David Mound, testador de penetração sênior em Cartão de pontuação de segurança, enfatiza que "a expertise varia entre os grupos hacktivistas. Mas a vantagem que eles têm hoje é que existem serviços da dark web para alugar, e eles podem ser bem baratos e acessíveis até mesmo para pessoas sem conhecimento técnico". Considerando que os criminosos pode comprar um ataque DDoS na dark web por apenas US$ 10, "é financeiramente acessível, é tecnicamente acessível. O 'negócio do mal' está ficando mais fácil."

Os Estados por Trás da Máscara

No extremo oposto do espectro estão grupos de alto escalão apoiados pelo governo que se apresentam como hacktivistas. Eles usam ataques para chamar a atenção para atingir infraestruturas críticas ou como cortina de fumaça para espionagem e outras atividades cibernéticas furtivas. Hultquist é lapidar: “Existem hacktivistas que simplesmente não são hacktivistas. Eles dizem ser motivados por ideologia, mas na realidade estão apenas seguindo ordens.”

Já em 2014 assistimos à hack infame di Sony Pictures Entertainment, durante o qual há fortes suspeitas de que a Coreia do Norte, se passando por um grupo hacktivista chamado Guardiões da Paz, destruiu a infraestrutura da Sony e vazou informações.

Mais recentemente, Google ele conectou Sandworm, o braço cibernético ofensivo da unidade de inteligência militar da Rússia GRUA, ataques cibernéticos contra instalações hídricas dos EUA e da Europa, além de outras operações de interrupção em tempos de guerra. Mas eles usaram personagens hacktivistas em canais do Telegram como Equipe XakNet, CyberArmyofRussia_Reborn1 e Solntsepek para divulgar atividades ilegais e compartilhar dados roubados, disfarçando-se assim como um esforço hacktivista independente. Até mesmo o famosíssimo “Anônimo”, que em si é um rótulo bom apenas para fazer manchetes de jornais, sempre parece pronto para atacar alvos específicos, em momentos específicos, como se movido por uma mão estratégica. Tenha cuidado com a torcida.

Um futuro de ameaças híbridas

No final de 2023, FBI, NSA, CISA e outras agências federais cobraram CyberAv3ngers, um grupo afiliado ao Corpo da Guarda Revolucionária Islâmica (IRGC), de invadir “múltiplos” sistemas de água dos EUA em todo o país. E isso não exigiu muita sofisticação por parte dos hackers. De acordo com autoridades federais, o grupo provavelmente violou sistemas de água dos EUA usando senhas padrão para controladores lógicos programáveis ​​acessíveis pela Internet.

O mesmo grupo, no entanto, foi posteriormente pego usando um malware personalizado chamado IOCONTROL para atacar e controlar remotamente sistemas de gerenciamento de água e combustível nos Estados Unidos e em Israel.

Impressiona-me o quão tênue é a linha entre o hacktivismo e as operações governamentais. Não é mais possível distinguir claramente o ativismo digital das operações de inteligência. O hacktivismo 2.0 é uma ferramenta de guerra híbrida, uma máscara conveniente para operações que os estados preferem não reivindicar diretamente. O futuro da cibersegurança terá de lidar com esta realidade: as ameaças mais perigosas à segurança informática eles podem não vir de grupos criminosos tradicionais, mas de operadores estatais que se escondem atrás da identidade de “ativistas”.

O velho hacktivismo está morto; Desejo vida curta ao novo hacktivismo, arma do governo que não tem coragem de dizer o nome.