Hacktivismo descreve ciberataques realizados com o objetivo de promover objetivos políticos ou sociais. Esses atos frequentemente envolvem acesso não autorizado a sistemas, usados não para lucro financeiro, mas para expressar apoio ou oposição a causas, governos ou instituições.
Índice
O termo é uma fusão de hack e ativismo e foi introduzido em 1996 por um membro do Cult of the Dead Cow conhecido como Omega. Desde sua origem, o termo passou a representar uma combinação de protesto digital e interferência cibernética.
O que motiva Hacktivistas
Hacktivistas modernos operam em equipes pequenas e bem organizadas, com habilidades técnicas de nível moderado a avançado. Suas motivações podem ser amplamente categorizadas em quatro principais impulsionadores:
Ideológica
Motivações ideológicas são a principal razão para atividades de hacktivismo. Esses grupos geralmente têm como alvo aqueles que consideram uma ameaça às suas crenças, sejam elas religiosas, éticas ou geopolíticas. Conflitos globais em andamento destacam o quão profundamente enraizadas são essas divisões ideológicas.
Por exemplo, o coletivo pró-Rússia NoName057(16) rotula os apoiadores da Ucrânia como aliados de “nazistas ucranianos”. Enquanto isso, a GlorySec, um grupo supostamente originário da Venezuela, afirma lealdade aos valores ocidentais e se descreve como anarco-capitalista. Seus princípios declarados, centrados na liberdade e no liberalismo de mercado, e portanto os colocam em oposição à Rússia, China, bem como ao que eles rotulam como seus regimes proxy, como Cuba, Nicarágua, Houthis, Hezbollah e Hamas.
Política
Embora menos frequentes do que campanhas ideológicas, ciberataques politicamente motivados visam alterar políticas ou moldar narrativas políticas. Um exemplo é o ataque da SiegedSec ao Project 2025, um think tank conservador. O grupo hackeou e vazou um banco de dados de 200GB, alegando que a iniciativa coloca em risco os direitos ao aborto e a comunidade LGBTQ+. A SiegedSec também participou de operações como OpTransRights, tendo como alvo instituições dos EUA consideradas hostis aos direitos de pessoas transgênero.
Figura 1. SiegedSec explicando suas motivações políticas
Nacionalista
Ataques hacktivistas nacionalistas são menos comuns e frequentemente incorporam imagens patrióticas ou referências culturais para justificar suas ações. Por exemplo, o grupo indiano UCC declarou sua missão de amplificar vozes hindus e desmascarar o que vê como narrativas falsas sobre a segurança hindu em Bangladesh. Eles tiveram como alvo ativos do governo paquistanês sob a bandeira de defender o ciberespaço indiano.
Da mesma forma, muitas campanhas hacktivistas alinhadas à Rússia frequentemente incluem emblemas nacionais como ursos e bandeiras, enquadrando seus ataques como atos de defesa nacional.
Oportunista
O hacktivismo oportunista é frequentemente impulsionado pela facilidade de acesso em vez de ideologia. Os alvos são escolhidos não por relevância política, mas por sua vulnerabilidade. Por exemplo, a SiegedSec comprometeu uma plataforma de mensagens simplesmente porque sua infraestrutura era mal protegida. Embora a origem chinesa do aplicativo possa ter desempenhado um papel secundário, os atacantes foram motivados principalmente por seus buckets Amazon S3 facilmente exploráveis. Esses agentes frequentemente exibem indignação juvenil, encarando o acesso não autorizado como um protesto justificado.
Figura 2. SiegedSec descrevendo seu ataque no site de um aplicativo de mensagens
Como o Hacktivismo Funciona
O fundador da GlorySec, sob o pseudônimo de "Charon Wheezy", descreveu os valores fundamentais do grupo em uma postagem no Telegram que incluía uma foto do grupo com membros em seus postos de trabalho. Enquanto isso, o criador da SiegedSec, "Vio," se identifica abertamente como parte da comunidade LGBTQ+ e descreve o grupo como “gay furry hackers” com afiliações anteriores à GhostSec e Anonymous Sudan. Essas introduções frequentemente são um ponto de partida para recrutar outros hackers com ideias semelhantes.
Figura 3. Perfil pessoal do fundador da SiegedSec
Outros grupos como CyberVolk anunciam publicamente por novos membros, colaborações pagas e outras oportunidades. Em contraste, a GlorySec busca insiders de nações como China, Rússia e Venezuela e pode oferecer até 200.000 dólares por acesso a sistemas internos governamentais ou corporativos. A promessa de realocação está incluída como um incentivo caso surjam problemas.
Na maioria dos grupos, uma pequena equipe de liderança é responsável por selecionar novos membros e recrutar diretamente usando seus canais de anúncio. Embora esses hackers frequentemente se apresentem como defensores da verdade ou da liberdade, a realidade dos riscos legais permanece uma preocupação. Sob pressão, alguns desses grupos, especialmente aqueles que operam no Ocidente, se dissolvem, se reformulam ou tomam ações evasivas se estiverem sob investigação. A SiegedSec, por exemplo, se dissolveu em julho de 2024, admitindo o cibercrime e citando o medo "do olho do FBI".
Tipos de Hacktivismo
DDoS
Uma das táticas mais comuns empregadas por hacktivistas é o ataque distribuído de negação de serviço (DDoS). Essas campanhas geralmente são coordenadas pelo grupo central e executadas por voluntários usando ferramentas de teste de estresse HTTP. Originalmente projetadas para testar a capacidade de servidores, essas ferramentas são abusadas para inundar sites com tráfego malicioso e causar interrupções.
Derrubadas de sites são uma tática preferida devido à sua simplicidade, porém interrupções por DDoS normalmente são breves e representam uma ameaça limitada a infraestruturas bem defendidas. Impacto significativo pode ocorrer se os ataques forem cronometrados estrategicamente, como atingir sites geradores de receita, como cassinos on-line ou plataformas de varejo durante horários de pico.
Figura 4. Forças Cibernéticas Indianas tendo como alvo um site do Hamas com DDoS
Malware
Malware não é um método preferencial para a maioria dos grupos hacktivistas, em grande parte devido à sua complexidade. Dito isso, algumas exceções existem. Alguns grupos desenvolvem seu próprio ransomware para financiar suas operações.
O grupo pró-Ucrânia Twelve supostamente espelha as táticas de gangs de ransomware. No entanto, diferentemente dos cibercriminosos tradicionais, eles não solicitam pagamento. Em vez disso, seu malware criptografa, exfiltra e às vezes exclui dados, que então são compartilhados por meio de seu canal no Telegram.
Em outro caso, acredita-se que a GlorySec tenha distribuído malware por meio de pen drives na Venezuela e infiltrado com sucesso sistemas em aproximadamente 100 organizações.
Figura 5. GlorySec explicando seu ataque de malware
Doxing
“Doxing”, que é a forma abreviada de “dropping dox”, refere-se à prática maliciosa de coletar e expor as informações pessoais de uma pessoa, como endereços, números de telefone e dados financeiros, sem o consentimento da vítima. Essa tática é usada para assediar, intimidar ou prejudicar indivíduos ao tornar públicos dados privados. Essa abordagem ganhou força na era das redes sociais, onde grandes quantidades de informações pessoais estão prontamente disponíveis on-line. Embora as motivações variem, elas geralmente decorrem de disputas ideológicas, vendetas pessoais ou do desejo de desacreditar uma figura pública.
Hack and leak
Ataques de hack and leak estão se tornando cada vez mais comuns entre os grupos hacktivistas atuais. Esses ataques envolvem invadir redes e servidores para exfiltrar dados sensíveis, que são então vazados publicamente por meio de plataformas de compartilhamento de arquivos. Esse tipo de ataque geralmente é promovido no canal do Telegram do grupo. A complexidade desse tipo de ataque sugere que há um processo avançado de recrutamento que prioriza potenciais recrutas com habilidades em técnicas ofensivas de hacking.
Exemplos de Hacktivismo
GlorySec
A GlorySec se identifica como um grupo pró-Ocidente e anti-autoritário, com raízes possivelmente na Venezuela. O grupo se opôs abertamente à governança russa e chinesa e afirma apoiar a liberdade individual e a liberdade econômica. Suas ações têm como alvo entidades que consideram autoritárias ou opressivas, incluindo aliados e regimes proxy desses governos, como Cuba e Hezbollah.
Eles também lançaram seu apoio por trás de Taiwan, lançando o OpPRC para atacar empresas chinesas. O grupo argumenta que a RPC é um país falso, defendendo em vez disso a independência de Taiwan. Enquanto isso, hackers alinhados à Rússia lançaram uma contraoperação, OpTaiwan, apoiando as reivindicações da China.
Anonymous
Anonymous é talvez o grupo hacktivista mais reconhecível, conhecido por sua estrutura pouco organizada e pela icônica máscara de Guy Fawkes. O coletivo atacou tanto sistemas governamentais quanto corporativos em alinhamento com várias causas políticas.
Entre 2008 e 2012, a Anonymous conduziu vários ataques de alto perfil. Um de seus esforços mais notáveis, a “Operação Tunísia”, viu o grupo se unir a hackers locais para interromper oito sites do governo tunisiano usando ataques DDoS. A campanha fez parte do movimento mais amplo da Primavera Árabe e contribuiu para a conscientização global do ativismo digital.
Figura 6. Grupos hacktivistas com motivações sobrepostas
Jon Clay trabalhou no espaço de Cibersegurança por mais de 29 anos. Jon usa sua experiência no setor para educar e compartilhar insights sobre todas as pesquisas e inteligências de ameaças publicadas externamente pela Trend Micro.