Hacktivism opisuje cyberataki przeprowadzane w celu osiągnięcia celów politycznych lub społecznych. Działania te często obejmują nieautoryzowany dostęp do systemu, wykorzystywany nie dla zysku finansowego, ale do wyrażania poparcia lub sprzeciwu wobec inicjatyw, rządów lub instytucji.
Termin ten jest połączeniem „haku” i „aktywizmu” i został wprowadzony w 1996 r. przez Kulta martwej krowy, członka znanego jako Omega. Od samego początku termin ten oznacza połączenie protestów cyfrowych i cyberzakłóceń.
Nowocześni hakerzy działają w dobrze zorganizowanych, małych zespołach o średnich i zaawansowanych umiejętnościach technicznych. Ich motywacje można podzielić na cztery główne czynniki:
Ideologiczne motywacje są głównym powodem działań hacktivism. Grupy te zazwyczaj atakują osoby, które uważają za zagrożenie dla swoich przekonań, czy to religijnych, etycznych, czy geopolitycznych. Ciągłe konflikty globalne podkreślają, jak głęboko są one zakorzenione w tych ideologicznych przeszkodach.
Na przykład kolektyw prorosyjski NoName057(16) oznacza zwolenników Ukrainy jako sojuszników „nazistów ukraińskich”. Tymczasem GlorySec — grupa rzekomo pochodząca z Wenezueli — twierdzi, że jako anarchokapitalista uważa swoją wierność zachodnim wartościom i markom. Oświadczają, że ich zasady skupiają się na wolności i liberalizmie rynkowym, a zatem stawiają je w sprzeczności z Rosją, Chinami, a także na tym, co nazywają „ich reżimami proxy”, takimi jak Kuba, Nikaragua, Houthi, Hezbollah i Hamas.
Mimo że kampanie te są rzadsze niż kampanie ideologiczne, cyberataki z motywacją polityczną mają na celu zmianę polityki lub kształtowanie narracji politycznych. Jednym z takich przykładów jest atak SiegedSec na projekt 2025 — konserwatywny think tank. Grupa zhakowała i wyciekła z bazy danych o pojemności 200GB, twierdząc, że inicjatywa ta zagraża prawom do aborcji i społeczności LGBTQ+. SiegedSec brał również udział w takich operacjach, jak #OpTransRights, skierowanych do instytucji amerykańskich, które uznano za wrogie dla transpłciowości.
Rysunek 1. SiegedSec wyjaśniający swoje motywacje polityczne
Ataki na nacjonalistów są rzadsze i często zawierają obrazy patriotyczne lub odniesienia kulturowe, aby usprawiedliwiać ich działania. Na przykład indyjski zespół UCC ogłosił swoją misję „wzmocnienia hinduskich głosów” i obalenia tego, co uważa za fałszywe narracji na temat bezpieczeństwa hinduskiego w Bangladeszu. Zamierzają na pakistańskie aktywa rządowe pod banerem obrony indyjskiej cyberprzestrzeni.
Podobnie wiele rosyjskich kampanii haktywistycznych często obejmuje emblematy narodowe, takie jak niedźwiedzie i flagi, które określają ataki jako akty obrony narodowej.
Oportunistyczny hacktivism często opiera się na łatwości dostępu, a nie ideologii. Cele są wybierane nie ze względu na znaczenie polityczne, ale ze względu na podatność. Na przykład firma SiegedSec niegdyś łamała platformę komunikatorów tylko dlatego, że jej infrastruktura była słabo zabezpieczona. Mimo że chińskie pochodzenie aplikacji mogło odegrać drugorzędną rolę, atakujący byli przede wszystkim zmotywowani łatwymi do wykorzystania zasobnikami Amazon S3. Ci aktorzy często okazują młodzieńcze obrażanie, postrzegając nieupoważniony dostęp jako uzasadniony protest.
Rysunek 2. SiegedSec opisujący swój atak na stronę internetową aplikacji do przesyłania wiadomości
Nowoczesne grupy haktywistów zazwyczaj składają się z niewielkiej liczby zaufanych osób, które często są przyjaciółmi lub znajomymi online, którzy dzielą zarówno możliwości techniczne, jak i podobną ideologię polityczną lub religijną, która określa dopasowanie grupy.
Założyciel GlorySec pod aliasem „Charon Wheezy” opisał podstawowe wartości grupy w poście telegramowym, który zawierał zdjęcie grupowe z członkami na stacjach roboczych. Tymczasem twórca firmy SiegedSec, „Vio”, otwarcie identyfikuje się jako członek społeczności LGBTQ+ i opisuje grupę jako „hakerów furiera” z poprzednimi powiązaniami z GhostSec i Anonymous Sudan. Te wprowadzenia są często punktem wyjścia do rekrutacji innych hakerów o podobnym nastawieniu.
Rysunek 3. Osobisty profil założyciela firmy SiegedSec
Inne grupy, takie jak CyberVolk, publicznie reklamują nowych członków, płatną współpracę i inne możliwości. Natomiast GlorySec poszukuje osób z wewnątrz z krajów takich jak Chiny, Rosja i Wenezuela i może zaoferować nawet 200 000 USD za dostęp do systemów wewnętrznych lub korporacyjnych. Obietnica relokacji stanowi zachętę w przypadku pojawienia się jakichkolwiek problemów.
W większości grup niewielki zespół kierowniczy jest odpowiedzialny za weryfikowanie nowych członków i rekrutację bezpośrednio za pomocą kanałów do przekazywania informacji. Podczas gdy ci hakerzy często postrzegają siebie jako obrońców prawdy lub wolności, rzeczywistość zagrożeń prawnych pozostaje problemem. Pod presją niektóre z tych grup, zwłaszcza te działające na zachodzie, rozwiążą, zmienią markę lub podejmą działania wymijające, jeśli są przedmiotem dochodzenia. Na przykład w lipcu 2024 r. SiegedSec rozwiązał swoją działalność, przyznając się do cyberprzestępczości i wspominając o strachu przed „okiem FBI”.
Jedną z najczęstszych taktyk stosowanych przez haktywistów jest rozproszony atak typu odmowa usługi (DDoS). Kampanie te są często koordynowane przez podstawową grupę i przeprowadzane przez ochotników korzystających z narzędzi do zarządzania stresem HTTP. Narzędzia te, pierwotnie przeznaczone do testowania wydajności serwerów, są wykorzystywane do zalewania witryn o złośliwym ruchu, aby powodować zakłócenia.
Pomijanie witryn internetowych jest preferowaną taktyką ze względu na ich prostotę, jednak zakłócenia DDoS są zazwyczaj krótkie i stanowią ograniczone zagrożenie dla dobrze schowanych infrastruktur. W godzinach szczytu może dojść do znacznych szkód, jeśli ataki zostaną strategicznie zsynchronizowane, np. trafiają na witryny generujące przychody, takie jak kasyna internetowe czy platformy detaliczne.
Rysunek 4. Indyjskie siły cybernetyczne atakujące witrynę Hamasu za pomocą DDoS
Złośliwe oprogramowanie nie jest najczęściej wybieraną metodą dla większości grup hakerów, głównie ze względu na jego złożoność. Istnieje jednak kilka wyjątków. Niektóre grupy opracowują własne ransomware, aby sfinansować swoje operacje.
Grupa proukraińska dwanaście podobno odzwierciedla taktykę gangów ransomware. Jednak w odróżnieniu od tradycyjnych cyberprzestępców nie żądają płatności. Zamiast tego ich złośliwe oprogramowanie szyfruje, wykrada i czasami usuwa dane, które są następnie udostępniane za pośrednictwem kanału telegramu.
W innym przypadku uważa się, że GlorySec rozpowszechnia złośliwe oprogramowanie za pośrednictwem napędów USB w Wenezueli i z powodzeniem infiltruje systemy w około 100 organizacjach.
Rysunek 5. GlorySec wyjaśniający swój atak typu malware
„Doxing”, czyli tzw. „dropping Dox”, odnosi się do złośliwej praktyki gromadzenia i ujawniania danych osobowych danej osoby, takich jak adresy, numery telefonów i dane finansowe, bez zgody ofiary. Jest to taktyka stosowana do nękania, zastraszania lub szkodzenia osobom poprzez upublicznianie prywatnych danych. Takie podejście zyskało na popularności w dobie mediów społecznościowych, gdzie ogromne ilości danych osobowych są łatwo dostępne w Internecie. Chociaż motywacje są różne, zazwyczaj wynikają one z sporów ideologicznych, osobistych wendet lub chęci dyskredytowania osoby publicznej.
Ataki hakerskie stają się coraz częstsze wśród dzisiejszych grup hakerów. Ataki te obejmują hakowanie sieci i serwerów w celu eksfiltracji wrażliwych danych, które są następnie publicznie ujawniane za pośrednictwem platform udostępniania plików. Ten rodzaj ataku jest zazwyczaj promowany na kanale telegramu grupy. Złożoność tego typu ataku sugeruje, że istnieje zaawansowany proces rekrutacji, który nadaje priorytet potencjalnym rekruterom, którzy są wykwalifikowani w zakresie obraźliwych technik hakerskich.
GlorySec identyfikuje się jako pro-zachodnia grupa antyautorytarna o korzeniach potencjalnie w Wenezueli. Grupa otwarcie sprzeciwiła się rosyjskiemu i chińskiemu zarządzaniu oraz twierdzi, że wspiera wolność indywidualną i wolność ekonomiczną. Ich działania są ukierunkowane na podmioty autorytarne lub represyjne, w tym sojuszników i pełnomocników tych rządów, takich jak Kuba i Hezbollah.
Za Tajwanem rzucili też swoje wsparcie, uruchamiając #OpPRC, aby zaatakować chińskie firmy. Argumentują, że „ChRL to fałszywy kraj”, popierając w zamian niezależność Tajwanu. Tymczasem hakerzy z Rosji uruchomili kontroperację #OpTaiwan, oblicówkę z chińskimi przekazami.
Anonimowa jest prawdopodobnie najbardziej rozpoznawalną grupą haktywistów znaną z luźno zorganizowanej struktury i kultowej maski Guya Fawkesa. Grupa ta zaatakowała zarówno systemy rządowe, jak i korporacyjne, zgodnie z różnymi celami politycznymi.
W latach 2008–2012 Anonymous przeprowadził kilka poważnych ataków. Jedna z ich najbardziej znaczących inicjatyw, „Tunezja operacyjna”, doprowadziła do połączenia grupy z lokalnymi hakerami w celu zakłócenia ośmiu witryn rządowych Tunezji z wykorzystaniem ataków DDoS. Kampania ta była częścią szerszego ruchu Arab Wiosna i przyczyniła się do zwiększenia globalnej świadomości na temat aktywizmu cyfrowego.
Rysunek 6. Grupy haktywistów o pokrywających się motywacjach