Între 14 și 17 iulie, o operațiune internațională comună, cunoscută sub numele de Eastwood, coordonată de Europol și Eurojust, a vizat rețeaua de criminalitate cibernetică NoName057(16). Autoritățile de aplicare a legii și judiciare din Cehia, Franța, Finlanda, Germania, Italia, Lituania, Polonia, Spania, Suedia, Elveția, Țările de Jos și SUA au întreprins acțiuni simultane împotriva infractorilor și a infrastructurii aparținând rețelei de criminalitate cibernetică pro-ruse. Ancheta a fost sprijinită și de ENISA, precum și de Belgia, Canada, Estonia, Danemarca, Letonia, România și Ucraina. Entitățile private ShadowServer și abuse.ch au oferit, de asemenea, asistență tehnică a operațiunii.
Acțiunile au dus la perturbarea unei infrastructuri de atac formată din peste o sută de sisteme informatice la nivel mondial, în timp ce o mare parte a infrastructurii serverelor centrale ale grupării a fost scoasă din funcțiune. Germania a emis șase mandate de arestare pentru infractori care locuiesc în Federația Rusă. Două dintre aceste persoane sunt acuzate că sunt principalii instigatori responsabili de activitățile „NoName057(16)”. În total, autoritățile naționale au emis șapte mandate de arestare, care sunt îndreptate, printre altele, împotriva a șase cetățeni ruși pentru implicarea în activitățile criminale ale NoName057(16). Toți suspecții sunt dați în urmărire internațională, iar în unele cazuri, identitățile lor sunt publicate în mass-media. Cinci profiluri au fost, de asemenea, publicate pe site-ul web EU Most Wanted .
Autoritățile naționale au contactat câteva sute de persoane despre care se crede că sunt susținători ai rețelei de criminalitate cibernetică. Mesajele, distribuite prin intermediul unei aplicații de mesagerie populare, informează destinatarul cu privire la măsurile oficiale, evidențiind răspunderea penală pe care o poartă pentru acțiunile lor, în conformitate cu legislațiile naționale. Persoanele care acționează pentru NoName057(16) sunt în principal simpatizanți vorbitori de limbă rusă care utilizează instrumente automate pentru a efectua atacuri de tip denial-of-service (DDoS). Operând fără o conducere formală sau abilități tehnice sofisticate, aceștia sunt motivați de ideologie și recompense.
Rezultatele generale ale Operațiunii Eastwood
- 2 arestări (1 arestare preliminară în Franța și 1 în Spania)
- 7 mandate de arestare emise (6 de Germania și 1 de Spania)
- 24 de percheziții domiciliare (2 în Cehia, 1 în Franța, 3 în Germania, 5 în Italia, 12 în Spania, 1 în Polonia)
- 13 persoane interogate (2 în Germania, 1 în Franța, 4 în Italia, 1 în Polonia, 5 în Spania)
- peste 1.000 de susținători, dintre care 15 administratori, au fost notificați cu privire la răspunderea lor legală prin intermediul unei aplicații de mesagerie
- peste 100 de servere au fost întrerupte în întreaga lume
- O mare parte a infrastructurii principale NoName057(16) scoasă din funcțiune.
NoName057(16) – tentative de perturbare a atacurilor DDoS în favoarea Rusiei
Infractorii asociați rețelei de criminalitate cibernetică NoName057(16) au vizat în principal Ucraina, dar și-au mutat atenția asupra atacării țărilor care sprijină Ucraina în apărarea continuă împotriva războiului de agresiune rusesc, multe dintre acestea fiind membre NATO.
Autoritățile naționale au raportat o serie de atacuri cibernetice legate de activitățile infracționale ale NoName057(16). În 2023 și 2024, rețeaua infracțională a participat la atacuri împotriva autorităților suedeze și a site-urilor web ale băncilor. De la începerea anchetelor în noiembrie 2023, Germania a înregistrat 14 valuri separate de atacuri care au vizat peste 250 de companii și instituții.
În Elveția, mai multe atacuri au avut loc și în iunie 2023, în timpul unui mesaj video ucrainean adresat Parlamentului Unit, și în iunie 2024, în timpul Summitului pentru Pace pentru Ucraina de la Bürgenstock. Cel mai recent, autoritățile olandeze au confirmat că un atac legat de această rețea a fost efectuat în timpul celui mai recent summit NATO din Țările de Jos. Toate aceste atacuri au fost atenuate fără întreruperi substanțiale.
Coordonare centrală pentru a viza rețeaua de criminalitate cibernetică pro-rusă
Europol a facilitat schimbul de informații și a sprijinit coordonarea activităților operaționale, servind drept centru de comunicare între autoritățile naționale și agențiile UE. În acest scop, a organizat peste 30 de întâlniri online și offline și două acțiuni operaționale. De asemenea, a facilitat cooperarea cu parteneri privați, care și-au oferit asistența atât înainte, cât și după operațiune. Agenția a oferit sprijin analitic extins, precum și expertiză criminalistică și de urmărire a criptomonedelor pe parcursul anchetei. Europol a coordonat campania de prevenire, comunicată presupușilor afiliați prin intermediul aplicațiilor de mesagerie și al canalelor de socializare.
În timpul acțiunii împotriva afiliaților NoName057(16), la sediul Europol a fost înființat un centru de coordonare cu reprezentanți din Franța, Germania, Spania, Olanda și Eurojust, și a pus la dispoziție un Post de Comandă Virtual pentru a conecta celelalte țări participante cu centrul de coordonare.
Grupul operativ comun de acțiune împotriva criminalității cibernetice (J-CAT) din cadrul Europol a sprijinit, de asemenea, operațiunea. Această echipă operațională este formată din ofițeri de legătură cibernetică din diferite țări care lucrează din același birou de la sediul Europol, oferind diverse forme de sprijin anchetelor de mare amploare privind criminalitatea cibernetică.
Prin intermediul Eurojust, autoritățile au putut coordona activitățile judiciare și să își planifice măsurile respective în timpul zilei de acțiune. Agenția a asigurat executarea asistenței judiciare reciproce și a mai multor ordine europene de anchetă. În timpul zilei de acțiune din 15 iulie, Eurojust a coordonat orice solicitări judiciare de ultim moment necesare în timpul operațiunii.
Manipulare gamificată pentru a motiva atacuri cibernetice pro-ruse
Investigațiile autorităților naționale au identificat NoName057(16) ca o rețea criminală ideologică despre care s-a observat că susține Federația Rusă și, în contextul războiului de agresiune rusesc împotriva Ucrainei, a fost asociată cu numeroase atacuri cibernetice DDoS. În timpul unor astfel de atacuri, un site web sau un serviciu online este inundat de trafic cu scopul de a-l supraîncărca și de a-l face indisponibil. Pe lângă activitățile rețelei, estimate la peste 4.000 de susținători, grupul a reușit, de asemenea, să-și construiască propria rețea de bot-uri formată din câteva sute de servere, utilizate pentru a crește încărcătura de atac.
Pentru a distribui îndemnuri la acțiune, tutoriale, actualizări și pentru a recruta voluntari, grupul a valorificat canale pro-ruse, forumuri și chiar grupuri de chat de nișă pe rețelele de socializare și aplicațiile de mesagerie. Voluntarii invitau adesea prieteni sau contacte de pe forumuri de jocuri sau hacking, formând mici cercuri de recrutare. Acești actori au folosit platforme precum DDoSia pentru a simplifica procesele tehnice și a oferi îndrumări, permițând noilor recruți să devină operaționali rapid.
Participanții au fost plătiți și în criptomonede, ceea ce a stimulat implicarea susținută și a atras oportuniști. Imitarea dinamicii asemănătoare jocurilor, a anunțurilor regulate, a clasamentelor sau a insignelor le-au oferit voluntarilor un sentiment de apartenență. Această manipulare gamificată, adesea îndreptată către infractorii mai tineri, a fost întărită emoțional de o narațiune de apărare a Rusiei sau de răzbunare a evenimentelor politice.
