Então o objetivo deles é "testarem" a segurança dos sites? É isso?
sim a maioria sim, aliais só são considerados hackers se só fizerem isso (não estragarem nada).
se reparares a maioria dos sites atacados a única coisa que tem é um index.html alterado, se apagarem esse index.html voltam ao normal.. agora se só o apagarem e não implementarem segurança a questão é outra...