L'hacktivismo descrive gli attacchi informatici eseguiti con l'obiettivo di promuovere gli obiettivi politici o sociali. Questi atti spesso implicano l'accesso non autorizzato al sistema, utilizzato non a scopo di lucro finanziario, ma per sostenere o opporsi a cause, governi o istituzioni.
Il termine è una fusione di "hack" e "attivismo" ed è stato introdotto nel 1996 da un membro del Cult of the Dead Cow noto come Omega. Fin dalla sua fondazione, il termine è diventato un mix di protesta digitale e interferenza informatica.
Gli hacktivisti moderni operano in piccoli team ben organizzati con competenze tecniche da moderate a avanzate. Le loro motivazioni possono essere ampiamente classificate in quattro fattori principali:
Le motivazioni ideologiche sono il motivo principale dell'attività di hacktivismo. Questi gruppi di solito prendono di mira coloro che considerano una minaccia per le loro convinzioni, siano esse religiose, etiche o geopolitiche. I conflitti globali in corso evidenziano quanto siano profondamente radicate queste divisioni ideologiche.
Ad esempio, il collettivo pro-Russia NoName057(16) marchia i sostenitori dell'Ucraina come alleati dei "nazisti ucraini". Nel frattempo, GlorySec, un gruppo che sembra provenire dal Venezuela, afferma la fedeltà ai valori occidentali e ai marchi stessi come anarco-capitalista. I loro principi dichiarati, incentrati sulla libertà e sul liberalismo di mercato, li mettono quindi in opposizione a Russia, Cina e a ciò che etichettano come "i loro regimi di delega" come Cuba, Nicaragua, Houthi, Hezbollah e Hamas.
Sebbene meno frequenti delle campagne ideologiche, gli attacchi informatici politicamente motivati mirano a modificare le politiche o a dare forma a narrazioni politiche. Un esempio di questo tipo è l'attacco di SiegedSec al Progetto 2025, un think tank conservativo. Il gruppo ha violato e trapelato un database da 200GB, sostenendo che l'iniziativa mette in pericolo i diritti di aborto e la comunità LGBTQ+. SiegedSec ha anche partecipato a operazioni come #OpTransRights, rivolte a istituzioni statunitensi ritenute ostili ai diritti transgender.
Figura 1. SiegedSec che spiega le proprie motivazioni politiche
Gli attacchi degli hacktivisti nazionalisti sono meno comuni e spesso incorporano immagini patriottiche o riferimenti culturali per giustificare le loro azioni. Ad esempio, il gruppo indiano Team UCC ha dichiarato la sua missione di "amplificare le voci indù" e disfattare ciò che considera come false narrazioni sulla sicurezza indù in Bangladesh. Hanno preso di mira le risorse del governo pakistano sotto il gonfalone della difesa del cyberspazio indiano.
Allo stesso modo, molte campagne hacktiviste allineate alla Russia spesso includono emblemi nazionali come orsi e bandiere, inquadrando i loro attacchi come atti di difesa nazionale.
L'hacktivismo opportunistico è spesso guidato dalla facilità di accesso piuttosto che dall'ideologia. Gli obiettivi vengono scelti non per rilevanza politica ma per la loro vulnerabilità. Ad esempio, una volta SiegedSec ha compromesso una piattaforma di messaggistica semplicemente perché la sua infrastruttura era scarsamente protetta. Sebbene l'origine cinese dell'app possa aver giocato un ruolo secondario, gli aggressori sono stati principalmente motivati dai suoi bucket Amazon S3 facilmente sfruttabili. Questi attori spesso mostrano un'indignazione giovanile, vedendo l'accesso non autorizzato come una protesta giustificata.
Figura 2. SiegedSec descrive il proprio attacco al sito web di un'app di messaggistica
I moderni gruppi di hacktivisti sono solitamente costituiti da un piccolo nucleo di persone fidate, che sono spesso amici o conoscenti online che condividono sia le capacità tecniche sia un'ideologia politica o religiosa simile, che definisce l'allineamento del gruppo.
Il fondatore di GlorySec, con l'alias "Charon Wheezy", ha descritto i valori fondamentali del gruppo in un post di Telegram che includeva una foto di gruppo con i membri delle postazioni di lavoro. Nel frattempo, il creatore di SiegedSec, "Vio", si identifica apertamente come parte della comunità LGBTQ+ e descrive il gruppo come "hacker gay furry" con affiliazioni passate a GhostSec e Anonymous Sudan. Queste introduzioni sono spesso un punto di partenza per reclutare altri hacker con la stessa mentalità.
Figura 3. Profilo personale del fondatore di SiegedSec
Altri gruppi come CyberVolk pubblicizzano pubblicamente nuovi membri, collaborazioni a pagamento e altre opportunità. Al contrario, GlorySec cerca insider da nazioni come Cina, Russia e Venezuela e può offrire fino a 200.000 dollari per l'accesso a sistemi governativi o aziendali interni. La promessa di trasferimento è inclusa come incentivo in caso di problemi.
Nella maggior parte dei gruppi, un piccolo team di leadership è responsabile del controllo dei nuovi membri e del reclutamento diretto utilizzando i loro canali di annuncio. Anche se questi hacker spesso si considerano difensori della verità o della libertà, la realtà dei rischi legali rimane una preoccupazione. Sotto pressione, alcuni di questi gruppi, in particolare quelli che operano in Occidente, scinderanno, cambieranno il marchio o intraprenderanno azioni evasive se sono indagati. SiegedSec, ad esempio, sciolta nel luglio 2024, ammettendo il crimine informatico e citando la paura dell'"occhio dell'FBI".
Una delle tattiche più comuni impiegate dagli hacktivisti è l'attacco DDoS (Distributed Denial-of-Service). Queste campagne sono spesso coordinate dal gruppo principale e condotte da volontari utilizzando strumenti di stress HTTP. Originariamente progettati per testare la capacità dei server, questi strumenti vengono abusati per inondare i siti con traffico dannoso che causa interruzioni.
I takedown dei siti web sono una tattica preferita per la loro semplicità, tuttavia, le interruzioni DDoS sono tipicamente brevi e rappresentano una minaccia limitata alle infrastrutture ben difese. Possono verificarsi danni significativi se gli attacchi sono programmati strategicamente, come colpire siti che generano entrate come casinò online o piattaforme di vendita al dettaglio durante le ore di punta.
Figura 4. Cyber Force indiane che prendono di mira un sito Hamas con DDoS
Il malware non è un metodo di riferimento per la maggior parte dei gruppi di hacker, in gran parte a causa della sua complessità. Detto questo, esistono alcune eccezioni. Alcuni gruppi sviluppano il proprio ransomware per finanziare le proprie operazioni.
Secondo quanto riferito, il gruppo pro-Ucraina Twelve rispecchia le tattiche delle bande ransomware. Tuttavia, a differenza dei cyber criminali tradizionali, non richiedono il pagamento. Invece, il malware crittografa, si esfiltra e a volte elimina i dati, che vengono poi condivisi attraverso il canale Telegram.
In un altro caso, si ritiene che GlorySec abbia distribuito malware tramite unità USB in Venezuela e si sia infiltrata con successo nei sistemi di circa 100 organizzazioni.
Figura 5. GlorySec che spiega il loro attacco malware
"Doxing", che è l'abbreviazione di "dropping dox", si riferisce alla pratica dolosa di raccogliere ed esporre le informazioni personali di una persona, come indirizzi, numeri di telefono e dati finanziari, senza il consenso della vittima. È una tattica utilizzata per molestare, intimidire o danneggiare le persone rendendo pubblici i dati privati. Questo approccio ha acquisito slancio nell'era dei social media, dove grandi quantità di informazioni personali sono prontamente disponibili online. Anche se le motivazioni variano, di solito derivano da controversie ideologiche, vendette personali o dal desiderio di screditare una figura pubblica.
Gli attacchi hacker stanno diventando sempre più comuni tra i gruppi di hacktivisti di oggi. Questi attacchi coinvolgono l'hacking di reti e server per esfiltrare dati sensibili, che vengono poi divulgati pubblicamente attraverso piattaforme di condivisione dei file. Questo tipo di attacco viene solitamente promosso sul canale Telegram di un gruppo. La complessità di questo tipo di attacco suggerisce che esiste un processo di reclutamento avanzato che dà priorità ai potenziali reclutatori esperti in tecniche di hacking offensive.
GlorySec si identifica come un gruppo anti-autoritario e pro-occidentale con radici potenzialmente in Venezuela. Il gruppo si è apertamente opposto alla governance russa e cinese e sostiene la libertà individuale e la libertà economica. Le loro azioni prendono di mira le entità che considerano autoritarie o repressive, compresi gli alleati e i delegati di questi governi, come Cuba ed Hezbollah.
Hanno anche gettato il loro supporto dietro Taiwan, lanciando #OpPRC per attaccare le aziende cinesi. Sostengono che "il PRC è un paese falso", sostenendo invece l'indipendenza di Taiwan. Nel frattempo, gli hacker allineati con la Russia hanno lanciato una controoperazione, #OpTaiwan, che si basa sulle rivendicazioni della Cina.
L'anonimo è forse il gruppo di hacktivisti più riconoscibile, noto per la sua struttura organizzata e l'iconica maschera Guy Fawkes. Il collettivo ha attaccato i sistemi governativi e aziendali in linea con varie cause politiche.
Tra il 2008 e il 2012, Anonymous ha condotto diversi attacchi di alto profilo. Uno dei loro sforzi più importanti, "Operation Tunisia", ha visto il gruppo unire le forze con gli hacker locali per sconvolgere otto siti web del governo tunisino utilizzando attacchi DDoS. La campagna faceva parte del più ampio movimento della primavera araba e ha contribuito alla consapevolezza globale dell'attivismo digitale.
Figura 6. Gruppi di hacktivisti con motivazioni sovrapposte