Các nhà nghiên cứu an ninh mạng tại Graphika đã công bố những phát hiện toàn diện về động thái hoạt động của các tổ chức hacktivist. Báo cáo của họ hé lộ các hành vi tìm kiếm sự chú ý tinh vi và phương pháp lựa chọn mục tiêu chiến lược, làm nổi bật sự phức tạp ngày càng tăng trong bối cảnh mối đe dọa từ hacktivist.
Giám Sát và Phạm Vi Hoạt Động Hacktivist
Thông qua nền tảng báo cáo tình báo ATLAS, các nhà phân tích của Graphika đã tiến hành giám sát có hệ thống khoảng 700 thực thể hacktivist đang hoạt động và không hoạt động kể từ năm 2022. Phạm vi giám sát này bao gồm một loạt các đối tượng đa dạng, từ các cá nhân được chính phủ hậu thuẫn (state-sponsored personas) cho đến các tập thể có định hướng địa chính trị rõ ràng, cụ thể là những nhóm ủng hộ Nga và Ukraine. Ngoài ra, nghiên cứu còn bao gồm các nhóm có trọng tâm khu vực, hoạt động trải rộng khắp Trung Đông, Bắc Phi, và Nam Á cũng như Đông Nam Á. Quy mô và tính đa dạng của các thực thể được giám sát cho thấy một hệ sinh thái hacktivist rộng lớn và phân tán.
Chiến Lược Nhắm Mục Tiêu
Nghiên cứu của Graphika chứng minh rằng các tổ chức hacktivist không chỉ hoạt động ngẫu nhiên mà sử dụng các chiến lược nhắm mục tiêu được tính toán kỹ lưỡng. Mục tiêu chính của họ là tối đa hóa tác động hoạt động và mức độ phủ sóng truyền thông. Để đạt được điều này, các nhóm hacktivist thường xuyên lựa chọn các thực thể có tính hiển thị cao và có khả năng thu hút sự chú ý của công chúng, bao gồm:
- Các tổ chức tài chính: Ngân hàng, công ty thanh toán và các định chế tài chính khác.
- Các nền tảng mạng xã hội: Các công ty cung cấp dịch vụ mạng xã hội lớn, nơi thông tin có thể lan truyền nhanh chóng.
- Các cơ quan chính phủ: Bộ, ban, ngành và các tổ chức nhà nước, thường là biểu tượng của quyền lực và mục tiêu có giá trị cao.
Việc nhắm mục tiêu vào các thực thể này không chỉ nhằm gây gián đoạn mà còn để tạo ra tiếng vang, khẳng định khả năng của nhóm và thu hút sự chú ý của giới truyền thông cũng như công chúng.
Kỹ Thuật Thúc Đẩy Ảnh Hưởng và “Perception Hacking”
Cơ Chế Tự Quảng Bá
Các tác nhân đe dọa hacktivist đã phát triển các cơ chế tự quảng bá tinh vi nhằm khuếch đại ảnh hưởng được cảm nhận của họ trong bối cảnh an ninh mạng. Điều này bao gồm việc sử dụng các kỹ thuật sau:
- Hashtag tùy chỉnh: Tạo ra và sử dụng các hashtag độc quyền để tăng cường khả năng nhận diện thương hiệu và dễ dàng theo dõi các chiến dịch trên mạng xã hội.
- Nhận diện hình ảnh có thương hiệu: Phát triển các logo, biểu tượng, hoặc phong cách hình ảnh đặc trưng giúp củng cố bản sắc của nhóm và tạo ấn tượng mạnh mẽ hơn.
- Giám sát tin tức báo chí tích cực: Theo dõi chặt chẽ các tin tức và bài viết liên quan đến hoạt động của mình để đo lường mức độ ảnh hưởng và điều chỉnh chiến lược truyền thông nếu cần.
Những cơ chế này giúp các nhóm hacktivist không chỉ truyền bá thông điệp mà còn xây dựng một hình ảnh mạnh mẽ và đáng gờm trong cộng đồng an ninh mạng và trước công chúng.
“Perception Hacking” và Tác Động
Một trong những phát hiện đáng lo ngại nhất là việc các nhóm hacktivist đã triển khai rộng rãi kỹ thuật “perception hacking”. Kỹ thuật này bao gồm việc đưa ra các tuyên bố không có căn cứ về việc đã xâm nhập thành công các mục tiêu nổi bật, ngay cả khi không có bằng chứng xác thực về một cuộc tấn công thực sự. Đây là một hình thức chiến tranh tâm lý được thiết kế để đạt được hai mục đích chính. Thứ nhất, nó nhằm mục đích nâng cao uy tín và danh tiếng của nhóm trong cộng đồng hacktivist, thu hút thêm thành viên và sự ủng hộ. Thứ hai, và quan trọng hơn, nó có thể làm suy yếu nghiêm trọng lòng tin của công chúng vào tư thế bảo mật của các tổ chức mục tiêu. Việc thông tin sai lệch này tạo ra một thách thức đáng kể cho các chuyên gia an ninh mạng. Khi đối mặt với một cuộc tấn công tiềm tàng, các nhà phân tích phải nỗ lực để phân biệt giữa các sự cố vi phạm dữ liệu hợp pháp và các chiến dịch tuyên truyền được dàn dựng. Sự phổ biến của các hoạt động “false flag” (cờ giả) như vậy làm phức tạp quá trình đánh giá mối đe dọa, đòi hỏi một sự kiểm chứng thông tin kỹ lưỡng và thận trọng hơn từ các đội ngũ SOC và IR.
Mô Hình Hoạt Động và Cấu Trúc Tổ Chức
Xu Hướng Thương Mại Hóa
Hệ sinh thái hacktivist đương đại đã vượt ra ngoài các hoạt động chỉ đơn thuần dựa trên ý thức hệ để tích hợp các cơ chế tạo doanh thu. Các nhóm tận dụng sự công khai và tiếng tăm được tạo ra từ các hoạt động của họ để tiếp thị và bán các sản phẩm hoặc dịch vụ. Điều này bao gồm:
- Công cụ độc quyền: Các phần mềm hoặc script tấn công được phát triển nội bộ.
- Dịch vụ an ninh mạng: Cung cấp các dịch vụ như pentesting, đánh giá lỗ hổng, hoặc tư vấn bảo mật (mặc dù nguồn gốc của dịch vụ này có thể không rõ ràng).
- Nội dung giáo dục: Các khóa học chuyên biệt về hacking hoặc các kỹ năng liên quan, nhắm đến những người muốn tìm hiểu về an ninh mạng hoặc các hoạt động phi pháp.
Xu hướng thương mại hóa này cho thấy sự trưởng thành của cộng đồng hacktivist theo hướng các mô hình hoạt động bền vững hơn, nơi mục tiêu tài chính có thể song hành với động cơ ý thức hệ.
Cấu Trúc Phân Cấp và Hợp Tác Nội Bộ
Nghiên cứu của Graphika cũng chỉ ra các cấu trúc phân cấp rõ ràng trong các cộng đồng hacktivist này. Các thành viên nổi bật thường đóng vai trò là những người điều phối chiến dịch, có khả năng chỉ định các mục tiêu cụ thể và huy động hành động tập thể rộng lớn hơn. Những tác nhân có ảnh hưởng này tạo điều kiện cho sự hợp tác xuyên nhóm, giúp khuếch đại các tuyên bố hoạt động và mở rộng phạm vi chiến dịch thông qua việc phối hợp thông điệp. Điều này cho phép các chiến dịch của hacktivist đạt được quy mô và tác động lớn hơn so với việc hoạt động độc lập.
Mâu Thuẫn Nội Bộ
Tuy nhiên, hệ sinh thái hacktivist cũng thể hiện sự ma sát nội bộ đáng kể. Các nhóm cạnh tranh thường tham gia vào các tranh chấp công khai và các hoạt động chống đối lẫn nhau. Một cách nghịch lý, những mâu thuẫn này lại tạo ra sự chú ý bổ sung và cung cấp thêm nội dung cho câu chuyện hacktivist rộng lớn hơn. Mặc dù có vẻ là sự bất ổn, các cuộc xung đột nội bộ này thực tế lại góp phần duy trì động lực và sự năng động của cộng đồng.
Phát Triển Năng Lực và Hạ Tầng Giao Tiếp
Tiến Bộ Năng Lực Tấn Công
Các nhà phân tích đã ghi nhận một sự tập trung ngày càng tăng vào việc phát triển năng lực trong các nhóm được giám sát. Điều này thể hiện qua việc họ tích cực theo đuổi các phương pháp tấn công phức tạp và gây rối hơn. Quỹ đạo tiến bộ công nghệ này cho thấy một bối cảnh mối đe dọa đang leo thang, nơi các hoạt động trong tương lai có khả năng thể hiện mức độ phức tạp và tác động hoạt động tăng lên. Sự cải thiện về kỹ thuật tấn công có thể bao gồm việc sử dụng các kỹ thuật vượt qua phòng thủ mới, khai thác lỗ hổng tinh vi hơn, hoặc phát triển các công cụ tùy chỉnh có khả năng gây thiệt hại lớn hơn.
Hạ Tầng Giao Tiếp và Chiến Lược Né Tránh
Trong khi Telegram vẫn là hạ tầng liên lạc chính cho các hoạt động của hacktivist, các nhóm này cũng duy trì sự hiện diện chiến lược trên các nền tảng chính thống như Facebook, Instagram và X (trước đây là Twitter). Việc gia tăng triển khai các thuật toán kiểm duyệt nội dung bởi các công ty mạng xã hội đã buộc các tổ chức hacktivist phải áp dụng các chiến lược né tránh năng động. Các chiến lược này bao gồm:
- Thay đổi tên người dùng thường xuyên: Liên tục xoay vòng các tài khoản và bí danh để tránh bị phát hiện và khóa.
- Ngừng liên lạc định kỳ: Thực hiện các giai đoạn tạm dừng liên lạc kéo dài vài tháng để “né” các hoạt động giám sát và kiểm duyệt.
Những mô hình di chuyển nền tảng này phản ánh động thái “mèo vờn chuột” đang diễn ra giữa các nhóm hacktivist và các công ty mạng xã hội. Các tác nhân đe dọa liên tục điều chỉnh việc quản lý dấu chân kỹ thuật số của họ để duy trì an ninh hoạt động trong khi vẫn bảo toàn khả năng hiển thị trước công chúng.
Tác Động và Khuyến Nghị
Nghiên cứu của Graphika nhấn mạnh một nhu cầu cấp thiết đối với các tổ chức là phải hiểu rõ các mô hình giao tiếp đang phát triển này. Việc nắm bắt được cách thức các nhóm hacktivist hoạt động, giao tiếp và tiến hóa là điều cần thiết để giám sát hiệu quả các mối đe dọa tiềm tàng nhắm vào cơ sở hạ tầng của họ. Khả năng nhận diện và phân tích các chiến lược của hacktivist sẽ giúp các đội ngũ an ninh mạng xây dựng các biện pháp phòng thủ chủ động và phản ứng nhanh chóng hơn trước các cuộc tấn công.
