Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi piena coerenza con le informazioni rese pubbliche dal Dipartimento di Giustizia degli Stati Uniti.
Già a luglio avevamo descritto il funzionamento di DDoSia e il ruolo di NoName057(16) nel reclutare volontari per attacchi DDoS tramite Telegram, evidenziando come dietro quella che sembrava un’attività di “cyber-volontariato patriottico” ci fosse un coordinamento centralizzato e infrastrutture riconducibili a figure legate al CISM, organismo filogovernativo russo. I documenti e le accuse odierne confermano che questi strumenti e network venivano utilizzati per sostenere interessi geopolitici russi, colpendo infrastrutture critiche e bersagli strategici in tutto il mondo.
La corrispondenza tra le nostre osservazioni investigative e le incriminazioni ufficiali dimostra che la logica di coordinamento centralizzato e il legame con istituzioni russe erano elementi concreti, non ipotesi.
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato ieri due nuove incriminazioni contro Victoria Eduardovna Dubranova, 33 anni, nota anche con i soprannomi Vika, Tory e SovaSonya, per il suo ruolo in cyberattacchi e intrusioni informatiche rivolti contro infrastrutture critiche, a sostegno degli interessi geopolitici russi.
Dubranova, estradata negli Stati Uniti in seguito al primo capo d’accusa relativo al gruppo CyberArmyofRussia_Reborn (CARR), è stata oggi formalmente incriminata anche per le sue azioni a supporto di NoName057(16) (NoName). La donna ha dichiarato di non essere colpevole in entrambi i casi; il processo per NoName è previsto per il 3 febbraio 2026, mentre per CARR inizierà il 7 aprile 2026.
“Le azioni di oggi dimostrano l’impegno del Dipartimento nel contrastare le attività informatiche russe dannose, siano esse condotte direttamente da attori statali o da loro mandatari criminali, volte a promuovere gli interessi geopolitici della Russia”, ha dichiarato il Procuratore Generale Aggiunto per la Sicurezza Nazionale John A. Eisenberg. “Rimaniamo fermi nel difendere i servizi essenziali, compresi i sistemi alimentari e idrici su cui gli americani fanno affidamento ogni giorno, e nel chiamare a rispondere coloro che cercano di indebolirli”.
Secondo le accuse, il governo russo ha sostenuto finanziariamente entrambe le organizzazioni, consentendo loro di accedere a servizi cybercriminali, tra cui abbonamenti a piattaforme DDoS-for-hire. CARR, noto anche come Z-Pentest, è stato fondato, finanziato e diretto dal GRU, e ha rivendicato centinaia di attacchi a livello globale, colpendo infrastrutture critiche statunitensi, sistemi idrici pubblici, impianti di lavorazione della carne e persino siti elettorali.
NoName057(16), invece, operava tramite un sistema di crowd-hacking chiamato DDoSia, distribuito tramite Telegram a volontari reclutati in tutto il mondo. Gli utenti venivano incentivati con pagamenti in criptovalute in base alla quantità di attacchi DDoS eseguiti, seguendo leaderboard quotidiane pubblicate dal gruppo. Le vittime includevano enti governativi, istituti finanziari e infrastrutture strategiche come porti e ferrovie pubbliche.
Red Hot Cyber aveva già osservato nel febbraio 2025 il funzionamento di DDoSia e l’infrastruttura di NoName057(16), descrivendo un ecosistema che, pur apparendo come un’attività volontaria, mostrava chiari elementi di coordinamento centralizzato. Analisi del client DDoSia rivelarono server C2 nascosti, che impartivano comandi criptati agli utenti e coordinavano attacchi simultanei, confermando una logica organizzativa oltre la semplice partecipazione “volontaria”.
Le indagini dell’Operazione Eastwood, condotta da Europol, avevano portato allo smantellamento di oltre 100 server in cinque Paesi europei e al fermo di diversi individui in Francia e Spagna. L’inchiesta aveva inoltre evidenziato il ruolo di figure chiave come Maxim Nikolaevič Lupin, direttore generale del CISM (Centro per lo Studio e il Monitoraggio dell’Ambiente Giovanile), e Mihail Evgenyevich Burlakov, professore associato e vice-direttore del medesimo centro.
Il CISM, sebbene ufficialmente impegnato nella tutela dei giovani e nella prevenzione dei contenuti dannosi, ha legami documentati con le infrastrutture utilizzate da NoName057(16). Burlakov è riconosciuto come progettista del client DDoSia e responsabile della gestione dei server usati per gli attacchi, mentre Lupin gestiva la direzione strategica delle operazioni. Documenti interni e evidenze OSINT mostrano una sovrapposizione tra attività di rieducazione giovanile e strumenti di attacco informatico, sollevando interrogativi sul confine tra controllo sociale e operazioni cyber.
Le accuse contro Dubranova comprendono cospirazione per danneggiare computer protetti, frode informatica e furto di identità aggravato, con pene massime che arrivano fino a 27 anni di carcere per le azioni legate a CARR e fino a cinque anni per NoName. Parallelamente, il Dipartimento di Stato USA offre ricompense fino a 10 milioni di dollari per informazioni su individui legati a NoName e fino a 2 milioni per informazioni su CARR.
Secondo le agenzie statunitensi, gruppi hacktivisti filo-russi come CARR e NoName sfruttano connessioni remote poco protette per infiltrarsi in sistemi di infrastrutture critiche, causando impatti fisici e operativi significativi. L’FBI, la CISA, la NSA e altre agenzie hanno ribadito la loro determinazione a identificare e neutralizzare questi attori, sottolineando l’importanza di proteggere servizi essenziali come acqua, energia e trasporti.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia