Хактивизм на службе разведки: как государства маскируют кибератаки
Исследователи распутывают связи между хактивистскими группами.
За последние десятилетия хактивизм в основном ограничивался дефейсами сайтов и DDoS-атаками, которые привлекали внимание, но не имели долгосрочных последствий. Однако в последние годы ситуация изменилась. Исследование Check Point Research показало, что такие группы меняют тактику, усложняя идентификацию, но именно сама активность может стать слабым местом хакеров .
Специалисты проанализировали тысячи сообщений от десятков хактивистских групп с помощью машинного обучения и лингвистического анализа. Исследователи сосредоточились на выявлении связи между группами, отслеживании изменений в их мотивации и поиске доказательств партнерства с госструктурами. Одним из ключевых направлений исследования стало определение тем, которые обсуждают хактивисты, и выявление общих черт их сообщений.
За последние годы хактивизм превратился в инструмент геополитического влияния. Если раньше хактивисты действовали из идейных соображений, то теперь государственные игроки маскируют свои операции под спонтанные кибератаки. Такие структуры создают десятки групп, чтобы замаскировать свою причастность и дискредитировать подлинные активистские движения. Сложность атрибуции позволяет сохранять анонимность, но именно многократное использование одних и тех же методов может привести к разоблачению.
Анализ атак показывает четкую корреляцию с политическими событиями. Кроме того, внезапное появление множества новых аккаунтов, использующих схожие методы атак, может свидетельствовать о скоординированной деятельности спецслужб.
Для выявления таких аномалий эксперты использовали анализ тем (Topic Modeling) и стилометрическое исследование (Stylometry). Первый метод позволил выявить ключевые темы, которыми оперируют хактивистские группы, а второй — определить уникальные языковые стили, присущие их сообщениям. Используя методы машинного обучения, исследователи смогли выявить совпадения в текстах, что указывает на возможную связь между различными группами.
Для сбора данных анализировались социальные сети X* и Telegram, где хактивисты традиционно публикуют свои сообщения. В результате было изучено около 20 000 постов от 35 активных аккаунтов, которые, по мнению исследователей, связаны с госструктурами.
Например, среди основных тем были атаки на сайты Израиля, Ирана и других стран, а также утечки документов и пропагандистские кампании. Такой анализ помог понять, как меняются интересы групп в зависимости от глобальных событий. Разные группы часто используют одни и те же словоформы, конструкции и даже типичные орфографические ошибки. Это позволило установить связи между группами, которые позиционировали себя как независимые.
Анализ также выявил случаи смены почерка внутри одной группы. Например, стиль написания постов IT Army of Ukraine резко изменился в 2022 году, что может свидетельствовать о смене авторов или смене контроля над аккаунтом. Подобные изменения в текстах могут говорить о переходе группы под новое руководство или перенацеливании на новые задачи.
Выявленные закономерности помогают улучшить атрибуцию кибератак и разоблачать структуры, маскирующиеся под хактивистов. Однако исследователи отмечают, что злоумышленники адаптируются, разрабатывая новые способы сокрытия своей деятельности. Тем не менее, использование машинного обучения и анализа текстов становится важным инструментом для противодействия таким угрозам .
* Социальная сеть запрещена на территории Российской Федерации.