L’operazione internazionale condotta da Europol ha segnato un punto di svolta nella lotta contro la cybercriminalità di matrice hacktivista, colpendo duramente il gruppo NoName057(16), noto per i suoi attacchi DDoS mirati contro l’Ucraina e i suoi alleati. Questo gruppo pro-Russia è stato attivo dal marzo 2022, subito dopo l’inizio dell’invasione dell’Ucraina, e si è distinto per la mobilitazione di simpatizzanti tramite Telegram, incentivando gli attacchi con pagamenti in criptovaluta attraverso il programma DDoSia.

Operation Eastwood e le azioni delle autorità

L’operazione, denominata Operation Eastwood, si è svolta tra il 14 e il 17 luglio coinvolgendo autorità di numerosi Paesi europei e nordamericani, tra cui Italia, Francia, Germania, Spagna, Stati Uniti e molti altri. Gli agenti hanno smantellato una parte significativa dell’infrastruttura centrale del gruppo, intervenendo su oltre 100 sistemi a livello globale e arrestando due persone in Francia e Spagna. Sono state eseguite anche perquisizioni in diverse abitazioni e sono stati emessi mandati di arresto per sei cittadini russi, cinque dei quali inseriti nella lista dei ricercati più pericolosi dell’Unione Europea.

I ruoli chiave e il funzionamento della rete

Secondo gli inquirenti, membri chiave come Mihail Evgeyevich Burlakov (alias darkklogo) e Olga Evstratova hanno ricoperto ruoli di rilievo nello sviluppo del software di attacco e nella gestione dei pagamenti per l’affitto dei server utilizzati nei DDoS. Il gruppo è accusato di aver creato una botnet composta da centinaia di server, aumentando così la potenza e la frequenza degli attacchi. La struttura organizzativa di NoName057(16) era fortemente gamificata, con dinamiche simili a quelle dei videogiochi per coinvolgere e fidelizzare nuovi sostenitori, spesso giovani, motivati anche da una narrazione ideologica che evocava la difesa della Russia o la vendetta per eventi politici.

Impatto e risposta internazionale

Europol ha inoltre contattato oltre mille soggetti identificati come sostenitori del gruppo, avvisandoli delle responsabilità penali legate all’uso di strumenti automatizzati per lanciare attacchi DDoS. Negli ultimi anni, le attività di NoName057(16) e di altri gruppi filorussi sono aumentate in frequenza e gravità, prendendo di mira infrastrutture critiche di diversi Paesi europei, tra cui autorità e banche svedesi e oltre 250 aziende tedesche.

Cooperazione tra gruppi e minaccia crescente

Le indagini hanno mostrato come questi attori collaborino tra loro, coordinando i messaggi e le tempistiche degli attacchi in linea con obiettivi strategici russi, spingendo la minaccia cyber verso livelli sempre più sofisticati e organizzati.