Operazione Eastwood: Smantellato il gruppo hacker filorusso NoName057(16)

Nell’ambito delle indagini condotte dalla Procura della Repubblica di Roma e con il coordinamento della Direzione Nazionale Antimafia e Antiterrorismo, la Polizia Postale ha portato a termine importanti attività investigative nell’Operazione Eastwood nei confronti gruppo hacker filorusso noto come “NoName057(16)”, contemporaneamente ad analoghe attività in Germania, Stati Uniti, Olanda, Svizzera, Svezia, Francia e Spagna.

Il gruppo NONAME dal marzo del 2022 ad oggi, ha portato migliaia di attacchi verso siti governativi, della pubblica amministrazione, di infrastrutture di trasporto pubblico, istituti bancari, sanità e telecomunicazioni in diversi paesi europei.

Le indagini, coordinate a livello internazionale da Eurojust ed Europol hanno consentito di identificare numerosi aderenti al gruppo, disvelando chi si celava dietro ai server remoti, agli account Telegram e ai pagamenti in criptovaluta riconducibili alla crew hacker.

Cinque mandati di arresto internazionali sono stati altresì emessi nei confronti di altrettanti soggetti di nazionalità russa, 2 dei quali ritenuti vertici dell’organizzazione. Più di 600 server in vari Paesi sono stati disattivati ed in parte sottoposti a sequestro, in quanto server costituenti l’infrastruttura criminale da cui partivano gli attacchi.

NONAME reclutava simpatizzanti, distribuendo gli elenchi dei target occidentali da colpire e rivendicando poi gli attacchi attraverso ipropri canali anonimi Telegram. Con il canale DDosia Project, NONAME metteva a disposizione un software per entrare e operare nel gruppo.

L’infrastruttura criminale è risultata articolata su un livello centrale di comando e controllo nella Federazione russa, server intermedi dedicati alla anonimizzazione del segnale e alla dispersione delle tracce e, quindi in migliaia di computer messi a disposizione di NONAME dagli aderenti per gli attacchi.

NONAME ha coordinato gli attacchi dal territorio russo, remunerando in criptovalute gli aderenti. Gli attacchi “DDOS” (Distributed Denial of Service), con ingenti quantità di connessioni simultanee dai computer verso i siti da colpire, sono stati mirati a provocarne il collasso e la temporanea inservibilità, con ripercussioni anche rilevanti sull’erogazione dei servizi pubblici.

In Italia, le indagini del CNAIPIC, con i Centri operativi della Polizia Postale di Piemonte, Lombardia, Veneto, Friuli-VG, Emilia-Romagna e Calabria, hanno condotto alla identificazione di 5 soggetti, ritenuti aderenti al gruppo avendo effettuato attacchi ad infrastrutture nazionali ed europee.

Nei confronti degli stessi la Procura della Repubblica di Roma ha emesso decreti di perquisizione eseguiti dai medesimi uffici. Sono inoltre al vaglio altre posizioni. Si sottolinea che le persone sottoposte ad indagine nei cui confronti si procede, debbono ritenersi innocenti fino a quando la loro colpevolezza non sia stata legalmente accertata con una sentenza definitiva.

Risultati complessivi dell’operazione Eastwood

• 2 arresti (1 arresto preliminare in Francia e 1 in Spagna)
• 7 mandati di arresto emessi (6 dalla Germania e 1 dalla Spagna)
• 24 perquisizioni domiciliari (2 in Repubblica Ceca, 1 in Francia, 3 in Germania, 5 in Italia, 12 in Spagna, 1 in Polonia)
• 13 persone intervistate (2 in Germania, 1 in Francia, 4 in Italia, 1 in Polonia, 5 in Spagna)
• Oltre 1.000 sostenitori, di cui 15 amministratori, sono stati avvisati della loro responsabilità legale tramite un’app di messaggistica
• Oltre 100 server interrotti in tutto il mondo
• La maggior parte dell’infrastruttura principale di NoName057(16) è stata messa offline

Paesi partecipanti

• Repubblica Ceca – Agenzia nazionale antiterrorismo, estremismo e criminalità informatica
• Finlandia – Ufficio nazionale investigativo (NBI)
• Francia – Unità nazionale di sicurezza informatica della Gendarmeria nazionale, Procura della Repubblica di Parigi – Giurisdizione nazionale contro la criminalità organizzata (JUNALCO)
• Germania – Ufficio federale di polizia criminale (Bundeskriminalamt), Procura generale di Francoforte sul Meno – Centro per la criminalità informatica
• Italia – Polizia di Stato (Polizia di Stato)
• Lituania – Polizia nazionale
• Paesi Bassi – Polizia nazionale (Politie), Procura della Repubblica
• Polonia – Ufficio centrale per la criminalità informatica
• Spagna – Guardia Civil, Polizia Nazionale (Policía Nacional)
• Svezia – Polisen
• Svizzera – Ufficio federale di polizia fedpol e Ministero pubblico della Confederazione (MPC)
• Stati Uniti – Federal Bureau of Investigation

Paesi di supporto

• Belgio
• Canada
• Danimarca
• Estonia
• Lettonia
• Romania
• Ucraina

Agenzie UE partecipanti

• Europol
• Eurojust
• ENISA

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.