L'hacktivism si riferisce agli attacchi cybercriminali che spesso implicano l'intrusione in sistemi per scopi motivati politicamente o socialmente, di solito per rilasciare una dichiarazione a sostegno di una causa o contro governi o organizzazioni.
Derivato dalla combinazione delle parole "hack" e "attivismo", il termine "hacktivismo" è stato coniato per la prima volta nel 1996 da Omega, un membro del collettivo di hacker Cult of the Dead Cow.
In passato, le azioni degli hacktivisti erano paragonate a graffiti simbolici e digitali. Al giorno d'oggi, i gruppi di hacktivisti assomigliano alle bande urbane. In precedenza composti da individui con competenze ridotte, questi gruppi si sono evoluti in team con competenze medio-alte, spesso di dimensioni inferiori ma molto più capaci. L'escalation delle competenze ha aumentato direttamente i rischi posti alle organizzazioni.
I gruppi di hacktivisti sono definiti da convinzioni politiche distinte riflesse sia nella natura dei loro attacchi che nei loro obiettivi. A differenza dei cyber criminali, gli hacktivisti in genere non cercano di ottenere un guadagno finanziario, sebbene abbiamo osservato sovrapposizioni con il crimine informatico. Nella maggior parte dei casi, questi gruppi si concentrano sull'avanzamento dei loro programmi politici, che variano in termini di trasparenza. In generale, le loro motivazioni possono essere classificate in quattro gruppi distinti: ideologico, politico, nazionalistico e opportunistico. Mentre alcuni gruppi sono strettamente allineati con una categoria, altri perseguono più programmi, spesso con un focus primario integrato da cause secondarie.
Le motivazioni ideologiche guidano l'attività più hacktivista. Questi gruppi prendono di mira le entità che sfidano le loro visioni del mondo, spesso concentrandosi su credenze religiose o conflitti geopolitici. I conflitti recenti rivelano profonde lacune ideologiche.
Ad esempio, il gruppo pro-russo "NoName057(16)" accusa coloro che aiutano l'Ucraina come "sostenitori dei nazisti ucraini", mentre i critici russi "GlorySec" affermano di "sostenere la società occidentale in ogni modo" e quindi "opporre il regime russo". GlorySec, forse un gruppo venezuelano autodescritto come anarcocapitalista, “crede nella libertà individuale e nei mercati liberi” e quindi si oppone a paesi come Russia e Cina, nonché a ciò che etichettano come “i loro regimi di delega” come Cuba, Nicaragua, Houthi, Hezbollah e Hamas.
Alcuni gruppi di hacktivisti cercano di influenzare le politiche governative o i risultati politici, sebbene tali attacchi siano meno comuni di quelli ideologici.
Ad esempio, "SiegedSec" ha preso di mira Project 2025, un'iniziativa che promuove politiche conservative. Hanno giustificato un attacco e la conseguente fuga di un database da 200GB sostenendo che il progetto "minaccia il diritto all'aborto sanitario e in particolare le comunità LGBTQ+". SiegedSec è stata attiva anche in #OpTransRights, rivolgendosi alle organizzazioni che percepiscono come opponenti diritti transgender e transessuali negli Stati Uniti.
Figura 1. SiegedSec che spiega le proprie motivazioni politiche
Gli attacchi degli hacktivisti nazionalisti sono meno comuni e spesso incorporano simboli culturali e retorica patriottica per giustificare le loro azioni. Ad esempio, il gruppo indiano "Team UCC" afferma di "amplificare le voci indù" "esponendo false narrazioni che affermano che gli Hindus sono al sicuro in Bangladesh". Si posizionano come difensori dell'Hindus in tutto il mondo, in particolare in Bangladesh. Attacchino i siti web e le organizzazioni del governo pakistano come sforzi per "difendere il cyberspazio indiano".
Allo stesso modo, molti gruppi pro-Russia mostrano motivazioni nazionalistiche. Gli annunci dei loro attacchi spesso presentano bandiere russe, orsi come simboli di orgoglio nazionale ed espressioni sulla difesa della Russia.
Alcuni gruppi di hacktivisti agiscono in modo puramente opportunistico, prendendo di mira le organizzazioni semplicemente perché sono facili da hackerare. Ad esempio, SiegedSec ha violato il sito web di un'applicazione di messaggistica, citando che "non è affatto sicuro". L'app "realizzata in Cina" potrebbe aver aggravato la loro motivazione, ma il gruppo ha menzionato di avere "accesso ai bucket AWS S3", suggerendo che l'attacco richiedeva uno sforzo minimo piuttosto che una giustificazione. Questi gruppi spesso sembrano essere costituiti da giovani guidati dalla giusta rabbia, che si manifesta come diritto e la convinzione che qualsiasi attacco sia un gioco equo.
Figura 2. SiegedSec descrive il proprio attacco al sito web di un'app di messaggistica
Come funziona l'hacktivismo
Figura 3. Profilo personale del fondatore di SiegedSec
Le strategie di reclutamento variano. Alcuni gruppi come CyberVolk pubblicizzano apertamente per soci, partnership e promozioni a pagamento. Altri, come GlorySec, cercano insider (“mole”) da nazioni rivali come Cina, Venezuela o Russia, per accedere a “sistemi di gestione governativi o aziendali”. Dicono di avere 200.000 dollari per pagare questo, offrendo anche che la mole "può essere riassegnata" (comprendiamo che questo significa riposizionata) "se si verificano problemi".
I leader dei gruppi, che sembrano essere pochissimi, esaminano personalmente i membri e reclutano direttamente attraverso i canali di annuncio. Percepiscono le loro azioni come ideali di difesa piuttosto che commettere reati. Tuttavia, la paura delle ripercussioni legali è comune. I gruppi spesso scindono, rinominano o compiono azioni evasive quando sono sotto controllo, in particolare se hanno sede negli Stati Uniti o in Europa. SiegedSec, ad esempio, si è sciolta nel luglio 2024, riconoscendo le loro azioni come criminali informatici e citando la paura dell'"occhio dell'FBI".
I gruppi di hacktivisti in genere si affidano a attacchi DDoS e di deturpazione del web, che sono orchestrati dal gruppo ed eseguiti da volontari utilizzando strumenti di stress HTTP. Originariamente progettati per consentire agli amministratori web di testare la capacità dei server, questi strumenti vengono abusati per inondare i server di traffico dannoso, causando interruzioni.
La rimozione di un sito web di destinazione è una tattica preferita a causa della sua semplicità, anche se il suo impatto è spesso limitato. Gli attacchi DDoS sono legati al tempo e i loro effetti sui siti web organizzativi sono solitamente di breve durata. Mentre gli attacchi prolungati ai siti che generano entrate (ad es. negozi online, casinò), durante i periodi di punta possono causare danni significativi, la maggior parte degli obiettivi sono siti web governativi o aziendali, con conseguenti danni alla reputazione minimi.
Figura 4. Cyber Force indiane che prendono di mira un sito Hamas con DDoS
Gli attacchi malware sono rari tra i gruppi di hacktivisti, probabilmente perché la creazione e la distribuzione di malware è più complessa degli attacchi rapidi e incentrati sulla reputazione. Tuttavia, alcuni gruppi sviluppano ransomware per finanziare le loro attività.
Un esempio è il "dodici" pro-ucraino che, a quanto pare, funziona come un gruppo ransomware. A differenza dei cyber criminali che chiedono il riscatto, il malware che utilizzano crittografa, elimina ed esfiltra i dati, con le informazioni rubate condivise su un canale Telegram. Tuttavia, non abbiamo trovato questo canale né verificato le motivazioni più profonde del gruppo.
In un altro caso, GlorySec ha posizionato malware su chiavette USB in una città venezuelana e presumibilmente ha ottenuto l'accesso ai sistemi in "100 aziende diverse".
Figura 5. GlorySec che spiega il loro attacco malware
Il doxing, che è l'abbreviazione di "dropping dox" ("dox", gergo di documenti), è la pratica dolosa di raccogliere e rilasciare pubblicamente le informazioni personali di qualcuno, come i loro indirizzi di casa, numeri di telefono, informazioni finanziarie o altri dati personali, senza il consenso della vittima.
Con l'ascesa dei social media e i dati online facilmente accessibili, il doxing è diventato una tattica popolare che viene spesso utilizzata per molestare, intimidire o danneggiare le persone. Ciò è tipicamente motivato da vendette personali, conflitti ideologici o dal desiderio di causare danni alla vittima.
I gruppi di hacktivisti di oggi si impegnano sempre più spesso in attacchi "hack-and-leak", che sono più sofisticati del DDoS, e sminuzioni del web. Essi hackerano reti e server per esfiltrare i dati, che vengono poi condivisi pubblicamente tramite piattaforme di condivisione dei file. Questi attacchi sono spesso promossi sul canale Telegram del gruppo. La natura avanzata di queste operazioni suggerisce un processo di reclutamento più complesso, dando priorità ai membri con capacità di hacking più offensive.
I critici russi "GlorySec" affermano di "sostenere la società occidentale in ogni modo" e quindi "opporre il regime russo". GlorySec, forse un gruppo venezuelano autodescritto come anarcocapitalista, “crede nella libertà individuale e nei mercati liberi” e quindi si oppone a paesi come Russia e Cina, nonché a ciò che etichettano come “i loro regimi di delega” come Cuba, Nicaragua, Houthi, Hezbollah e Hamas.
GlorySec si è allineata anche con Taiwan nei suoi sforzi per disimpegnarsi dalla Cina, avviando #OpPRC per attaccare le aziende cinesi. Hanno affermato che "La PRC è un paese falso; dovrebbe essere il ROC", facendo riferimento alle autodesignazioni di Cina (PRC) e Taiwan (ROC). GlorySec non è né cinese né taiwanese. Ironia della sorte, gli hacker russi hanno condotto #OpTaiwan per il motivo opposto, supportando la Cina.
Probabilmente hai sentito parlare del gruppo noto come Anonymous, un collettivo di hacker clandestini e, sì, anonimi, che hanno sconfitto e si sono infiltrati nei sistemi informatici appartenenti ad aziende e governi con cui hanno disaccordi politici.
Dal 2008 al 2012, Anonymous è riuscita a eseguire una serie di attacchi, con effetti che vanno da irrilevanti a critici. Uno dei più famosi, soprannominati "Operation Tunisia", ha coinvolto il reclutamento di una serie di hacker tunisini per aiutare a abbattere otto siti web governativi utilizzando attacchi DDoS (Distributed Denial of Service Attacks) a sostegno dei movimenti della primavera araba nel 2010.
Questa tabella ha compilato alcuni gruppi di hacktivismo che abbracciavano più conflitti:
Figura 6. Gruppi di hacktivisti con motivazioni sovrapposte