Cyberprzestępczość przybiera różne formy, ale jedną z najdłużej znanych taktyk stosowanych przez hakerów jest modyfikowanie stron internetowych, tj. wprowadzanie w serwisach WWW zmian niekorzystnych lub szkodliwych dla ich właścicieli. Hakerzy należący do tej kategorii, określani jako „modyfikatorzy stron” (ang. web defacers), zwykle zastępują oryginalne strony własnymi treściami zawierającymi ostry przekaz o charakterze społecznym lub politycznym. Zjawisko to nie jest nowe, obserwujemy je od dawna. Po przeanalizowaniu danych pochodzących nawet sprzed dwóch dekad dowiedzieliśmy się, jak ewoluował sposób działania tego typu cyberprzestępców.
Wcześniejsze badania skupiały się na wykrywaniu takich ataków, bez dociekania ich przyczyn lub analizowania motywacji sprawców. W wielu przypadkach sprawcami są internetowi aktywiści zwani haktywistami, którzy modyfikują strony w celu promowania swoich programów politycznych. Hakerzy mogą jednak kierować się różnymi pobudkami. Przedmiotem naszych badań były zdarzenia, które wywołały takie ataki, oraz metody stosowane przez modyfikatorów stron. Zbadaliśmy ponad 13 milionów zgłoszonych ataków tego typu na wielu kontynentach. Gromadziliśmy, analizowaliśmy i łączyliśmy te zgłoszenia z wykorzystaniem technik uczenia maszynowego, aby jak najlepiej rozpoznać wzorce. O wynikach tej pracy można przeczytać w najnowszym raporcie Trend Micro A Deep Dive into Defacement: How Geopolitical Events Trigger Web Attacks.
Przyczyny modyfikowania stron internetowych
Jak wiadomo, konflikty geopolityczne często rozszerzają się na świat cyfrowy. Nasze badania wykazały, że modyfikowanie stron internetowych przez haktywistów jest zwykle wywołane zdarzeniami politycznymi lub otwartymi konfliktami. Wykryliśmy wiele kampanii modyfikowania stron o szerokim zasięgu. Niektóre nie ograniczały się do pojedynczych akcji, lecz rozwijały dynamicznie przy udziale wielu hakerów.
Większość takich kampanii można powiązać z ostrymi konfliktami politycznymi, czasem trwającymi od dziesięcioleci. Nagłe zdarzenia wywołują szybką reakcję hakerów. Przykładem jest fala ataków na strony WWW po zamachu terrorystycznym na redakcję Charlie Hebdo czy zniszczeniu miasta Aleppo.
W niektórych przypadkach przyczyną są spory graniczne lub różnice poglądów politycznych. Niektóre kraje wokół Morza Południowochińskiego toczą między sobą spory terytorialne, co znajduje odzwierciedlenie w atakach na strony internetowe walczących stron. Jedna z takich kampanii, „OpIndia”, odzwierciedlała konflikty graniczne między Indiami a krajami sąsiednimi ― Bangladeszem i Pakistanem, podczas gdy „OpIsrael” to cyfrowa wersja konfliktu izraelsko-palestyńskiego, którego początki sięgają lat czterdziestych ubiegłego wieku.
Grupy modyfikatorów stron i stosowane przez nich taktyki
Grupy stojące za akcjami modyfikowania stron internetowych są zróżnicowane. Często składają się z lokalnych hakerów, którzy łączą siły dla wspólnej sprawy. Czasem ruch taki się rozszerza nawet na skalę międzynarodową. Grupy wykorzystują media społecznościowe do komunikacji, pozyskiwania wsparcia i organizowania spotkań.
Ich członkowie udostępniają sobie nawzajem narzędzia. Czasem modyfikują strony za pomocą specjalnych szablonów, które przekazują swoim zwolennikom. Kiedy indziej udostępniają sobie narzędzia hakerskie, instruktaże wideo, a nawet kody eksploitów. Zakres ich działań i metod cały czas się poszerza.
Ewolucja metod stosowanych przez modyfikatorów stron internetowych
Dziś większość grup hakerskich zajmujących się modyfikowaniem stron nie osiąga ze swojej działalności żadnych zysków. Mimo to wciąż z powodzeniem przeprowadzają swoje akcje i nie jest wykluczone, że wkrótce będą chcieli czerpać z nich korzyści finansowe. Ponieważ hakerzy mają łatwy dostęp do serwisów WWW z lukami w zabezpieczeniach, zasięg ataków będzie prawdopodobnie coraz większy. Przykładowo, hakerzy mogą umieszczać w zaatakowanych serwisach WWW przekierowania do szkodliwych stron lub kody eksploitów, które zainstalują szkodliwe oprogramowanie typu ransomware na urządzeniach odwiedzających.
Jak dotąd większość modyfikatorów stron działa z pobudek ideologicznych. Nie zależy im na pieniądzach, lecz na propagowaniu swoich idei. Widać już jednak, w jakim kierunku ewoluuje ich działalność. Na przykład, jak wynika z doniesień, hinduscy hakerzy pozbawili pracowników pakistańskich instytucji rządowych dostępu do ich serwisów WWW i odmówili przywrócenia tego dostępu nawet po otrzymaniu zapłaty. Najwyraźniej zrobili to z pobudek patriotycznych. Jak widać, niektóre grupy organizują coraz poważniejsze ataki. Można się spodziewać, że modyfikatorzy stron wkrótce zaczną działać bardziej radykalnie z nastawieniem na zysk.