Hacktivisme is niet nieuw, maar de toenemende vervaging van de grenzen tussen traditioneel hacktivisme en door de staten gesteunde operaties maakt het een krachtige dreiging.
Sinds de invasie van Rusland in Oekraine in februari 2022 is hacktivisme prominent in het publieke bewustzijn. Politiek gemotiveerde groepen en individuen zijn dit keer bijvoorbeeld ook actief rondom het Israël-Hamas conflict.
Verontrustend is dat hacktivisten steeds geavanceerdere en agressievere tactieken gebruiken om hun doelen te bereiken. Nog zorgwekkender is de kans dat veel van deze groepen steun ontvangen van, of zelfs bestaan uit, statelijke actoren. De lijn tussen door staten gesponsorde cyberoperaties en traditioneel hacktivisme is dan ook vervaagd.
In een wereld gekenmerkt door geopolitieke instabiliteit en ondermijning van de op regels gebaseerde orde, moeten organisaties, vooral in de kritieke infrastructuur, de dreiging van hacktivisme serieus opnemen in hun risicobeleid.
Wat is nieuw in hacktivisme?
Hacktivisme draait om het uitvoeren van cyberaanvallen met politieke of sociale motieven. Vorig jaar introduceerde het Rode Kruis acht regels voor “burgerhackers” die tijdens oorlogstijd opereren. Deze regels tonen aan dat hacktivisten steeds vaker niet militaire doelen aanvallen, zoals ziekenhuizen, apotheken en banken.
Het is echter weinig verrassend dat hacktivisten zich niet aan deze richtlijnen houden. Doordat de kans klein is dat je als hacktivist gepakt wordt of een hack aan jou toegeschreven kan worden de wegen de voordelen van hacktivistische activiteiten vaak op tegen de nadelen, vooral als deze aanvallen hoogst waarschijnlijk door staten worden gesteund.
Het oude tegenover het nieuwe
Het huidige conflict tussen Israël en Hamas heeft wereldwijd een ongekend aantal activisten gemobiliseerd, zowel op straat als online. Deze online activiteiten weerspiegelen veel van de tactieken die we kennen van eerdere hacktivistische campagnes:
· DDoS-aanvallen: In oktober vorig jaar bereikte de DDoS-activiteit van hacktivisten recordhoogten, vooral na het conflict tussen Israël en Hamas. Israël werd het meest getroffen, met 1.480 geregistreerde DDoS-aanvallen in 2023, waaronder enkele grote organisaties.
· Web defacement: Dit is een vorm van een cyberaanval waarbij een hacker ongeautoriseerde wijzigingen aanbrengt aan een website. Meer dan 100 hacktivisten voerden in de week na de invallen van 7 oktober meer dan 500 web dafacement-aanvallen uit op Israëlische websites, volgens onderzoekers van Cambridge University. Deze aanvallen gaan tot op de dag van vandaag door.
· Diefstal van gegevens: Sommige groepen beweerden gegevens van Israël en geallieerde organisaties te hebben gestolen en gepubliceerd. Hacktivisten infiltreren bedrijfssystemen om gevoelige informatie te stelen en openbaar te maken, wat leidt tot verlegenheid en schade voor het doelwit.
Er zijn echter ook aanwijzingen dat hacktivisme doelgerichter en verfijnder wordt:
· Application Programming Interface (API) -kwetsbaarheid: Een rapport suggereerde dat de hacktivistengroep AnonGhost misbruik maakte van een API-kwetsbaarheid in de “Red Alert”-app, die Israëlische burgers realtime waarschuwt voor raketten. De groep onderschepte verzoeken, legde kwetsbare servers en API’s bloot, en gebruikte Python-scripts om spamberichten naar gebruikers van de apps te sturen. Ze slaagden er zelfs in om valse berichten over een nucleaire bom naar burgers te sturen.
· Supervisory Control and Data Acquisition (SCADA) -apparaten: Andere apparaten vermeldden dat hacktivisten screenshots hadden gepost die aantoonden dat ze toegang hadden tot SCADA-apparaten van Israëlische watersystemen. Hoewel onderzoekers deze claims niet konden verifiëren, suggereerden ze dat hacktivisten mogelijk verkenningsoperaties uitvoerden gericht op deze sector.
Wanneer raken nationale staten betrokken?
Hacktivisten met geavanceerde technische kennis of toegang tot ondergrondse cybercriminaliteitstools kunnen verantwoordelijk zijn voor recente aanvallen. De betrokkenheid van nationale staten kan echter niet worden uitgesloten. Veel landen hebben geopolitieke en ideologische redenen om andere landen en hun bondgenoten aan te vallen onder de dekmantel van hacktivisme.
Vermoedelijk aan Rusland gelieerde groepen, zoals Anonymous Sudan, hebben veel westerse doelen aangevallen. Ze claimen onder andere de aanval op The Jerusalem Post en aanvullen op industriële besturingssystemen (ICS) zoals de Israëlische Gloal Navigational Satelliet Systems en Modbus ICS. Een andere pro-Russische groep, Killnet, beweerde dat ze een Israëlische overheidswebsite en de website van de veiligheidsdienst Shin Bet hadden neergehaald.
Naast deze opvallende aanvallen zijn er ook aanwijzingen voor meer subtiele staatsinspanningen vermomd als hacktivisme. Deze omvatten desinformatiecampagnes met AI-gegenereerde beelden van raketaanvallen, tanks in verwoeste buurten, en gezinnen die door het puin zoeken. De focus ligt op het creëren van beelden die sterke emotionele reacties oproepen, zoals een virale afbeelding van een huilende baby te midden van bomwrakken. Valse sociale media- en Telegram-accounts versterken deze desinformatie. In één geval promootte X-eigenaar Elon Musk een bericht van een vervalst account dat 11 miljoen keer werd bekeken voordat het werd verwijderd.
Beveiligingsonderzoekers hebben gecoördineerde activiteiten waargenomen na de Hamas-aanval, wat mogelijk wijst op staatsbetrokkenheid. Eén studie stelde vast dat minstens 30 hacktivisten groepen binnen 48 uur hun aandacht op het conflict richtten.
Een aantal stappen om het risico van hacktivisme tegen te gaan
De dreiging van hacktivisme blijft bestaan, of deze nu afkomstig is van onafhankelijke groepen, staatsgerichte entiteiten, of geheime agenten van nationale staten.
Om de risico's van hacktivisme te beperken, kunnen organisaties de volgende stappen nemen:
1. Beoordeel jouw risico’s: Stel kritische vragen zoals: Zijn we een doelwit? Welke bedrijfsmiddelen zijn kwetsbaar? Wat is de omvang van ons aanvalsoppervlak? Zijn de huidige maatregelen voldoende? Een grondige cyberrisicobeoordeling van jouw externe infrastructuur kan hierbij helpen.
2. Los kwetsbaarheden op: Dicht alle beveiligingslekken die tijdens de risicobeoordeling naar voren komen, inclusief kwetsbaarheden en verkeerde configuraties. Dit moet idealiter continu en geautomatiseerd gebeuren. Hiervoor kan je bijvoorbeeld gebruik maken van een vulnerability en patch management oplossing.
3. Bescherm bedrijfsmiddelen: Beveilig e-mail, endpoints, netwerken en hybride cloud-omgevingen tegen dreigingen. Gebruik continue monitoring met XDR/MDR-tools om dreigingen tijdig te detecteren.
4. Gebruik dreigingsinformatie: Verzamel, analyseer en reageer op informatie over huidige en opkomende dreigingen.
5. Encryptie van gegevens: Pas krachtige encryptie toe om gevoelige gegevens te beschermen tegen ongeoorloofde toegang en wijziging.
6. Verbeter toegangsbeheer: Versterk identiteits- en toegangsbeheer met een zero trust-architectuur en twee factor-authenticatie (2FA). Houd verdachte toegangsactiviteiten in de gaten.
7. Train medewerkers: Implementeer voortdurende opleidings- en bewustzijnsprogramma's voor werknemers.
8. DDoS-mitigatie: Werk samen met een betrouwbare derde partij voor DDoS-mitigatie.
9. Incident Reponse Plan: Ontwikkel en test een uitgebreid Incident Response Plan.
Hacktivisme is niet nieuw, maar de vervagende lijnen tussen ideologisch/politiek gemotiveerde groepen en staatsbelangen maken het een krachtige dreiging. Het is wellicht tijd om jouw risicobeheerplanning te herzien en te versterken.