Új módszerek a hacktivista csoportok attribúciójára
A Check Point Research tanulmánya egy új módszert mutat be a hacktivista csoportok attribúciójára, amely a nyelvi elemzés és a gépi tanulás kombinációjára épül. A kutatás célja az volt, hogy azonosítsa a hacktivista csoportok működését, narratíváikat, összefonódásaikat és azt, hogy egyes esetekben államilag támogatott szereplők is rejtőzhetnek-e mögöttük.
A hacktivizmus, amely a hackelés és az aktivizmus ötvözete, az 1980-as években jelent meg olyan csoportokkal, mint a Cult of the Dead Cow. Azóta a mozgalom globálissá vált, és míg korábban főként társadalmi vagy politikai célokért küzdő független szereplők alkották, ma már számos államilag támogatott entitás is kihasználja ezeket a csoportokat geopolitikai célokra.
A kutatás egyik fő megállapítása az volt, hogy egyes hacktivista csoportok közvetetten vagy közvetlenül állami szereplők által támogatott információs műveletek részei lehetnek. A kiberháború és az online információs hadviselés növekedésével egyre nehezebb különbséget tenni a valóban aktivista jellegű csoportok és a proxy hacktivisták között, akik állami érdekeket szolgálnak ki.
Az új attribúciós módszer bemutatása:
Nyelvészeti elemzés és stíluselemzés (Stylometry)
A kutatók nagy mennyiségű hacktivista közleményt, közösségi média posztokat és kommunikációs mintákat elemeztek, hogy azonosítsák az egyedi nyelvi mintázatokat és a különböző csoportok közötti stilisztikai hasonlóságokat. A különböző csoportok által használt szóhasználat, kifejezések és szleng összehasonlítása. Egyes hacktivista közlemények azonos nyelvi struktúrákat követnek, ami utalhat arra, hogy ugyanazok az emberek vagy csoportok írják őket. A kutatók gépi tanulási algoritmusokat alkalmaztak a szövegek stílusjegyeinek összehasonlítására és kategorizálására.
Tematikus elemzés és narratíva vizsgálata
A kutatás feltérképezte, hogy egyes csoportok milyen témákban aktívak, és milyen narratívákat terjesztenek. Egyes csoportok kifejezetten geopolitikai célokat szolgálnak ki (pl. oroszbarát vagy nyugati érdekeket támogató kampányok). A csoportok által támadott infrastruktúrák alapján következtetéseket vontak le a mögöttes célokról és esetleges megbízókról. Egyes hacktivista csoportok információs műveletek részeként működnek, és célzottan manipulálnak közvéleményt vagy politikai diskurzust.
Kapcsolatháló-elemzés
A hacktivista csoportok gyakran más kiberbűnözői csoportokkal, darknet fórumokkal vagy állami szereplőkkel állnak kapcsolatban. A kutatás során nyilvánosan elérhető és kiszivárgott adatok alapján hálózatokat térképeztek fel, amelyek kimutatták, hogy egyes hacktivista csoportok mögött ugyanazok az infrastruktúrák vagy finanszírozási források állhatnak. Egyes csoportok darknet és Telegram-aktivitás elemzésen alapuló összekapcsolódása alapján következtettek arra, hogy egyes független hacktivista csoportok valójában nagyobb állami vagy bűnszervezeti struktúrák részei lehetnek. A kutatók több konkrét hacktivista csoportot is megvizsgáltak, amelyek az elmúlt években aktívak voltak, és a módszerek segítségével sikerült jobban megérteniük működésüket:
Killnet és orosz kapcsolat
A Killnet nevű hacktivista csoport az ukrajnai háború kirobbanása óta végrehajtott DDoS támadásokat NATO-tagállamok és nyugati kormányok ellen. A narratívájuk, nyelvezetük és célpontjaik alapján a kutatás arra a következtetésre jutott, hogy stíluselemzésük egyezik más, korábban az orosz GRU-hoz köthető kampányokkal. Telegram és darknet aktivitásuk erős kapcsolatot mutat más, oroszbarát propagandacsoportokkal.
AnonGhost és közel-keleti politikai műveletek
Az AnonGhost csoport önmagát független hacktivista mozgalomnak állítja be, azonban a kutatás szerint, a nyelvhasználatuk és szókincsük nagyban egyezik az államilag támogatott iráni kiberkampányokéval. Narratíváik gyakran kapcsolódnak az iráni állami médiában terjesztett üzenetekhez.
Összegezve a hacktivista csoportok egyre kevésbé függetlenek – sok esetben állami szereplők vagy bűnszervezetek használják őket politikai és stratégiai célokra. A nyelvi elemzés és hálózatkutatás kombinációja segíthet a hamis hacktivizmus leleplezésében. A modern hacktivista támadások jelentős része információs hadviselés – Nem mindig a technikai pusztítás a cél, hanem a közvélemény manipulálása és a politikai diskurzus befolyásolása. A fejlett attribúciós módszerek segíthetnek az állami hátterű kampányok felismerésében, ezáltal hatékonyabb válaszintézkedéseket lehet kidolgozni.
