Onderzoekers van Check Point Research (CPR) constateren dat hacktivisme wereldwijd is veranderd. Hedendaags hacktivisme kenmerkt zich door politieke ideologie, leiderschapshiërarchie, formele rekrutering, public relations en geavanceerde tools. CPR waarschuwt dat deze vorm van hacktivisme ontstaat in conflictgebieden, maar het potentieel heeft om zich wereldwijd te verspreiden. De recente aanval van Killnet op 14 websites van Amerikaanse vliegvelden is daarvan een voorbeeld.
“Op dit moment zien we dat Killnet zijn volgers actief inzet om Amerikaanse luchthavens aan te vallen, waarbij ze zelfs nieuwsartikelen citeren om hun achterban aan te sporen”, zegt Sergey Shykevich, Threat Intelligence Group Manager bij Check Point. “Meer in het algemeen ben ik niet verbaasd over de recente cyberaanval van Killnet in de afgelopen 24 uur. Het was slechts een kwestie van tijd voordat de focus van Killnet zou verschuiven naar de VS. Hoewel Killnet geen geavanceerde mogelijkheden gebruikte, waren hun DDoS-aanvallen vorige week op de Amerikaanse overheid en transportsectoren behoorlijk succesvol. Het zou ons niet verbazen als we deze week meer van de groep zien. Ze richten zich graag op de meest prominente websites van de federale overheid, endan specifiek op die websites waar aanzienlijke downtime niet kan worden genegeerd, maar die aan de andere kant niet voldoende beschermd zijn.”
Nieuw hacktivisme-model wereldwijd in opkomst
De onderzoekers van CPR zien dat hacktivisme veranderd is. Tot voor kort bestonden hacktivisme-groepen vooral uit enkele individuen die kleinschalige DDoS- en defacementaanvallen uitvoerden. Nu is hacktivisme georganiseerder, gestructureerder en gesofisticeerder dan vroeger. Het zijn gecoördineerde organisaties met kenmerken die voorheen niet voorkwamen.
Deze nieuwe vorm van hacktivisme is vaak gebaseerd op een consistente politieke ideologie (inclusief manifesten en regels). Daarnaast zijn de hackersgroepen beter georganiseerd. Zo is er een hiërarchie waarbij kleinere groepen de aanvalsopdrachten doorgeven aan “commandanten” en worden er steeds meer geavanceerde tools onder leden verstrekt. Ook het rekruteringsproces is geprofessionaliseerd, waarbij er bijvoorbeeld minimumvereisten gelden. Verder valt de promotie van hun eigen acties op en zijn hackersgroepen onder andere aanwezig op belangrijke websites.
CPR vermoedt dat de verschuiving in het hacktivismemodel ongeveer twee jaar geleden begon, met verschillende hacktivistische groepen zoals Hackers of Savior, Black Shadow en Moses Staff die zich uitsluitend richtten op het aanvallen van Israël. Daarnaast zien de CPR-onderzoekers dat de oorlog tussen Rusland en Oekraïne het nieuwe model van hacktivisme aanzienlijk heeft verspreid en uitgebreid. Zo werd The IT Army of Ukraine publiekelijk gemobiliseerd door de Oekraïense regering om Rusland aan te vallen. Het nieuwe hacktivisme kent ook groepen die het Russische geopolitieke verhaal ondersteunen, zoals Killnet, Xaknet, From Russia with Love (FRwL), NoName057(16), en meer.
“Hoewel de verandering begon in specifieke conflictgerelateerde geografische regio’s, heeft zij zich nu naar het westen en zelfs verder verspreid. Grote bedrijven en regeringen in Europa en de VS zijn het doelwit van dit opkomende type hacktivisme. Dit alles maakt het mogelijk de nieuwe hacktivisme groepen te mobiliseren voor regeringsverhalen en strategische en brede doelen te bereiken met hogere succesniveaus – en veel bredere publieke impact – dan ooit tevoren.”
