Trend Micro detalha, com base em 13 milhões de casos de invasões, motivações e táticas usadas em ações di tipo
O mundo digital se tornou um espaço essencial para os indivíduos expressarem suas opiniões e promoverem suas causas. No entanto, o ativismo também se instalou no mundo dos criminosos cibernéticos e hackers, que têm suas próprias crenças e utilizam de diversos meios para defendê-las. Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – levantou algumas estatísticas e métodos por trás dessas ocorrências, conhecidas como hacktivismo.
Em 2017, os sites de várias organizações locais de Ohio, nos EUA, foram hackeados e desfigurados em uma manhã de domingo. De acordo com um relatório da Cyberscoop, esse não foi um caso isolado e sites locais do governo de Maryland, Idaho, Califórnia e Nova York também foram desfigurados por hackers no passado.
Os hacktivistas violaram os sites do governador e de outras entidades locais e substituíram o conteúdo original e legítimo por uma ameaça contra a atual administração presidencial e outras mensagens violentas, acompanhadas por um logotipo do grupo de hackers Team System DZ.
Como relatado pela Cyberscoop, esse caso e muitos outros nos quais os atacantes vandalizam plataformas, são considerados “um tipo de ataque cibernético de baixo nível” e normalmente são executados por hackers menos experientes.
Embora a desfiguração de sites por hacktivistas ocorra há anos, antes não existiam muitas pesquisas investigando os alvos, métodos e motivações por trás dessas atividades.
Os pesquisadores da Trend Micro usaram o machine learning e outras táticas para coletar, de sites ao longo de 18 anos em todo o mundo. Os resultados foram compilados no relatório A Deep Dive into Web Defacement: How Geopolitical Events Trigger Web Attacks”.
O relatório mostra uma tendência surpreendente e ascendente em relação à desfiguração de páginas da web, usando dados de fontes, incluindo sites dedicados de relatórios dos hacktivistas Zone-H, Hack-CN, Mirror Zone, Hack Mirror e MyDeface. No geral, a Trend Micro encontrou mais de 104 mil defacers, que impactaram e comprometeram mais de 9,929 milhões de domínios individuais.
A maior parte desses eventos desfigurou sites suportados pelo sistema operacional Linux, que representaram mais de 9 milhões de desfigurações. O Windows 2003 teve mais de 1,5 milhão de desfigurações, com mais de 400 mil e 338 mil ocorrendo no Windows 2000 e no Windows 2008, respectivamente. Da mesma forma, os servidores Apache foram muito afetados pelos ataques, com mais de 8 milhões de casos de desfiguração. Além disso, mais de 1,5 milhão de ataques de hacktivistas ocorreram em servidores web IIS/6.0.
Para violar as proteções do site, os hacktivistas focam em vulnerabilidades específicas para obter acesso não autorizado aos sistemas de suporte de backend. A Trend Micro descobriu que a maior parte dos hacktivistas (mais de 2 milhões) usaram as vulnerabilidades de inclusão de arquivos para habilitar a desfiguração. Outras estratégias foram:
Injeções de SQL – 1,26 milhão
Vulnerabilidades do sistema sem correção – 1,16 milhão
Roubo de senha – 1,11 milhão
Outros tipos de intrusões de servidores – 800 mil
Motivações por trás dos ataques de desfiguração
Existem vários aspectos diferentes que podem motivar os hacktivistas a desfigurar um site. Em muitos casos, um alvo é escolhido de forma específica e a desfiguração é feita sob medida para expressar um certo ponto de vista.
A pesquisa da Trend Micro descobriu que muitos episódios de desfiguração ocorreram como reações a outros eventos. Muitos casos serviram para impulsionar uma opinião do grupo de hackers, para esclarecer reivindicações e espalhar certas mensagens políticas.
Abaixo algumas das principais campanhas políticas de hacktivismo:
A #OpIsrael é uma das primeiras e mais antigas campanhas de desfiguração da web e uma das três principais campanhas anti-Israel identificadas pelos pesquisadores da Trend Micro. É um exemplo de atividade hacktivista motivada por crenças políticas e reivindicações compartilhadas. Até o momento, vários grupos diferentes de hackers participaram da #OpIsrael, com desfigurações focadas no conflito Israel-Palestina.
Um dos primeiros exemplos de desfiguração como parte dessa campanha ocorreu em 2012, quando o conteúdo regular do site myisrael.us foi removido e substituído por uma mensagem política que incluía a frase “Liberdade para a Palestina” ao lado de um vídeo condenando a Guerra de Gaza.
Desde então, a campanha realiza uma desfiguração anual em larga escala de vários sites todo dia 7 de abril, que coincide com o Dia da Memória do Holocausto. Até o momento, mais de 300 defacers vandalizaram mais de 5.400 domínios.
A desfiguração de sites nas mãos de hacktivistas afetou agências governamentais, organizações privadas e outras entidades.
Hacktivistas respondem ao ataque do Charlie Hebdo
Várias campanhas de desfiguração de hacktivistas ocorreram logo após o ataque contra o Charlie Hebdo, em janeiro de 2015, girando em torno da polêmica revista francesa que publicava charges satíricas sobre o Islã e o profeta Maomé.
Campanhas incluindo a #OpFrance foram criadas em resposta ao ataque, bem como subcampanhas como #OpCharlie, #OpCharlieHebdo e #AntiCharlieHebdo. A maior parte da atividade que ocorreu em conexão com essas campanhas aconteceu diretamente após o ataque, atingindo um pico em 11 de janeiro de 2015. No entanto, as desfigurações associadas ao ataque da Charlie Hebdo ocorreram até setembro de 2016.
O vandalismo digital é apoiado por diversos grupos de hackers da Síria, Marrocos, Bangladesh, Indonésia e outros lugares, e focado em sites franceses que pareciam ser simpáticos à revista. As desfigurações incluíram mensagens pró-muçulmanas e pró-islâmicas.
Protegendo sites da internet contra a desfiguração realizada por hacktivistas
Embora muitos eventos de desfiguração surjam como respostas a eventos específicos, toda organização deve garantir que seu site esteja protegido contra esse tipo de acesso não autorizado. A desfiguração tem várias consequências, especialmente quando clientes e parceiros – atuais e potenciais – não conseguem acessar os portais, recursos e informações que o site normalmente oferece.
Sempre aplique as correções nos sistemas
Quaisquer vulnerabilidades conhecidas podem ser usadas para violar e atacar o site. A correção virtual é fundamental e uma solução como o Deep Security da Trend Micro, que protege o servidor web, é uma forma eficaz de gerenciar e manter correções e atualizações.
Use senhas fortes
As senhas padrão devem ser substituídas por credenciais mais robustas, que incluam uma combinação de números, letras e caracteres especiais e que não possam ser facilmente adivinhadas.
Use a segurança no nível do aplicativo da web
Isso inclui firewalls de aplicativos da web para monitorar atividades e proteger contra tráfegos que possam ameaçar o desempenho e a usabilidade do site.
