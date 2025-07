Gli autori dei reati hanno preso di mira l’Ucraina e i paesi sostenitori, compresi molti Stati membri dell’UE

Tra il 14 e il 17 Luglio un’operazione internazionale congiunta, nota come Eastwood e coordinata da Europol ed Eurojust, ha preso di mira la rete di criminalità informatica NoName057(16). Le autorità giudiziarie e di polizia cechia, Francia, Finlandia, Germania, Italia, Lituania, Polonia, Spagna, Svezia, Svizzera, Paesi Bassi e Stati Uniti hanno intrapreso azioni simultanee contro gli autori dei reati e le infrastrutture appartenenti alla rete filorussa della criminalità informatica. L’inchiesta è stata sostenuta anche dall’ENISA, nonché da Belgio, Canada, Estonia, Danimarca, Lettonia, Romania e Ucraina. I privati ShadowServer e abuse.ch hanno assistito anche nella parte tecnica dell’operazione.

Le azioni hanno portato all’interruzione di un’infrastruttura di attacco composta da oltre cento sistemi informatici in tutto il mondo, mentre una parte importante dell’infrastruttura server centrale del gruppo è stata messa offline. La Germania ha emesso sei mandati di arresto nei confronti di autori di reati che vivono nella Federazione russa. Due di queste persone sono accusate di essere i principali istigatori responsabili delle attività di “NoName057(16)”. In totale, le autorità nazionali hanno emesso sette mandati d’arresto diretti, tra l’altro, contro sei cittadini russi per il loro coinvolgimento nelle attività criminali NoName057(16). Tutti i sospetti sono elencati come ricercati a livello internazionale e, in alcuni casi, le loro identità sono pubblicate dai media. Cinque profili sono stati pubblicati anche sul sito web EU Most Wanted.

Le autorità nazionali hanno contattato diverse centinaia di persone ritenute sostenitori della rete della criminalità informatica. I messaggi, condivisi tramite una popolare applicazione di messaggistica, informano il destinatario delle misure ufficiali che evidenziano la responsabilità penale che ha per le sue azioni ai sensi delle legislazioni nazionali. Le persone che agiscono per conto di NoName057(16) sono principalmente simpatizzanti di lingua russa che utilizzano strumenti automatizzati per eseguire attacchi DDoS (Distributed Denial-of-Service). Operando senza una leadership

Risultati complessivi dell’Operazione Eastwood

2 arresti (1 preliminare in Francia e 1 in Spagna)

7 mandati d’arresto emessi (6 dalla Germania e 1 dalla Spagna)

24 perquisizioni di domicilio (2 in Cechia, 1 in Francia, 3 in Germania, 5 in Italia, 12 in Spagna, 1 in Polonia)

13 persone interrogate (2 in Germania, 1 in Francia, 4 in Italia, 1 in Polonia, 5 in Spagna)

Oltre 1 000 sostenitori, di cui 15 amministratori, hanno notificato la loro responsabilità legale tramite un’app di messaggistica

Oltre 100 server interrotti in tutto il mondo

La maggior parte dell’infrastruttura principale di NoName057(16) è stata messa offline

NoName057(16) Tentativi di interruzione DDoS a favore della Russia

Gli autori di reati associati alla rete di criminalità informatica NoName057(16) hanno preso di mira principalmente l’Ucraina, ma hanno spostato la loro attenzione sugli attacchi ai paesi che sostengono l’Ucraina nella difesa in corso contro la guerra di aggressione russa, molti dei quali sono membri della NATO.

Le autorità nazionali hanno segnalato una serie di attacchi informatici legati ad attività criminali di NoName057(16). Nel 2023 e nel 2024 la rete criminale ha preso parte ad attacchi contro le autorità svedesi e i siti web delle banche. Dall’inizio delle indagini nel novembre 2023, la Germania ha assistito a 14 ondate separate di attacchi che hanno preso di mira più di 250 aziende e istituzioni.

In Svizzera, anche nel giugno 2023 sono stati compiuti diversi attacchi, durante un videomessaggio ucraino rivolto al Parlamento paritetico, e nel giugno 2024, durante il vertice di pace per l’Ucraina a Bürgenstock. Più di recente, le autorità olandesi hanno confermato che un attacco legato a questa rete è stato effettuato durante l’ultimo vertice della NATO nei Paesi Bassi. Tutti questi attacchi sono stati mitigati senza interruzioni sostanziali.

Coordinamento centrale per colpire la rete filo-russa del crimine informatico

Europol ha facilitato lo scambio di informazioni e sostenuto il coordinamento delle attività operative, fungendo da hub per la comunicazione tra le autorità nazionali e le agenzie dell’UE. A tal fine, Europol ha organizzato oltre 30 riunioni online e offline e due sprint operativi. Europol ha inoltre facilitato la cooperazione con i partner privati, che hanno offerto la loro assistenza sia prima che dopo l’operazione. Nel corso delle indagini, l’Agenzia ha fornito un ampio supporto analitico, nonché il tracciamento delle criptovalute e le competenze forensi. Europol ha coordinato la campagna di prevenzione, che è stata rilasciata ai presunti affiliati tramite app di messaggistica e canali di social media.

Durante la giornata d’azione contro gli affiliati di NoName057(16), Europol ha istituito un centro di coordinamento presso la sua sede con rappresentanti di Francia, Germania, Spagna, Paesi Bassi ed Eurojust e ha messo a disposizione un posto di comando virtuale per collegare gli altri paesi partecipanti con il centro di coordinamento.

Anche la Joint Cybercrime Action Taskforce (J-CAT) di Europol ha sostenuto l’operazione. Questa squadra operativa è composta da funzionari di collegamento informatici di diversi paesi che lavorano dallo stesso ufficio presso la sede centrale di Europol e forniscono varie forme di sostegno alle indagini di alto profilo sulla criminalità informatica.

Attraverso Eurojust, le autorità sono state in grado di coordinare le attività giudiziarie e pianificare le rispettive misure durante la giornata d’azione. L’Agenzia ha assicurato l’esecuzione dell’assistenza giudiziaria reciproca e di molteplici ordini di indagine europei. Durante la giornata d’azione del 15 luglio, Eurojust ha coordinato le richieste giudiziarie dell’ultimo minuto necessarie durante l’operazione.

Manipolazione gamificata per motivare gli attacchi informatici filo-russi

Le indagini delle autorità nazionali hanno individuato NoName057(16) come una rete criminale ideologica che si è dimostrata sostenere la Federazione russa e, nel contesto della guerra di aggressione russa nei confronti dell’Ucraina, è stata collegata a numerosi attacchi informatici DDoS. Durante tali attacchi, un sito Web o un servizio online viene inondato di traffico con l’obiettivo di sovraccaricarlo e renderlo non disponibile. Oltre alle attività della rete, stimate in oltre 4.000 sostenitori, il gruppo è stato anche in grado di costruire una propria botnet composta da diverse centinaia di server, utilizzati per aumentare il carico di attacco.

Per condividere inviti all’azione, tutorial, aggiornamenti e per reclutare volontari, il gruppo ha sfruttato canali filo-russi, forum e persino gruppi di chat di nicchia sui social media e sulle app di messaggistica. I volontari spesso invitavano amici o contatti da forum di gioco o di hacking, formando piccoli circoli di reclutamento. Questi attori hanno utilizzato piattaforme come DDoSia per semplificare i processi tecnici e fornire linee guida, consentendo ai nuovi assunti di diventare operativi rapidamente.

I partecipanti sono stati anche pagati in criptovaluta, il che ha incentivato un coinvolgimento sostenuto e ha attirato gli opportunisti. Imitare dinamiche simili a quelle di un gioco, gridare regolarmente, classifiche o badge ha fornito ai volontari un senso di status. Questa manipolazione gamificata, spesso rivolta ai delinquenti più giovani, è stata rafforzata emotivamente da una narrativa di difesa della Russia o di vendetta degli eventi politici.

c.s. – https://www.europol.europa.eu/media-press/newsroom/news/global-operation-targets-noname05716-pro-russian-cybercrime-network?mtm_campaign=press-releases-just-published-20250716&utm_term=press-releases-just-published&mtm_source=newsletter&mtm_medium=email&mtm_content=title&mtm_group=news