Европол заявил о ликвидации пророссийской хакерской группы

В период с 14 по 17 июля состоялась масштабная международная операция под кодовым названием "Иствуд", направленная против пророссийской сети киберпреступности NoName057(16), ответственной за сотни DDoS-атак на Украину и страны-члены ЕС и НАТО. Согласно заявлению, операцию координировали Европол и Евроюст при участии Агентства Европейского Союза по вопросам сетевой и информационной безопасности (European Union Agency for Network and Information Security, ENISA), правоохранительных и судебных органов не менее 13 стран, включая Германию, Францию, Испанию, Польшу, США и Швейцарию.

В результате скоординированных действий была нарушена работа более 100 компьютерных систем по всему миру. Значительная часть центральной инфраструктуры NoName057(16) выведена из строя. В общем национальные органы власти провели 24 обыска, задержали двух человек во Франции и Испании, а также выдали семь ордеров на арест, шесть из них граждане Российской Федерации. Двое из них считаются основными координаторами преступной деятельности.

Оперативные мероприятия проводились в сотрудничестве с техническими партнерами, в частности ShadowServer и abuse.ch. Также к операции присоединились государственные органы еще 11 стран, среди которых Украина, Бельгия, Эстония, Канада, Дания, Латвия, Румыния.

Следственные действия показали, что участники сети NoName057 (16) действовали в поддержку агрессивной политики России в отношении Украины. После начала полномасштабной войны группа совершила более 1500 DDoS-атак против государств, оказывающих политическую, военную или финансовую поддержку Украине.

Национальные структуры безопасности зафиксировали ряд атак, связанных с деятельностью этой группы. В 2023-2024 годах она осуществляла кибератаки на шведские государственные учреждения и сайты банков. С ноября 2023 года в Германии произошло 14 волн атак, которые затронули более 250 компаний и организаций. В Швейцарии в июне 2023 года произошли нападения во время обращения Украины в Объединенный парламент, а в июне 2024-го киберпреступники атаковали во время Мирного саммита в Бюргенштоке. Недавно власти Нидерландов также подтвердили атаку, связанную с NoName057(16), которая совпала с проведением саммита НАТО. Все атаки удалось отбить без серьезных последствий.

Исполнители атак преимущественно русскоязычные пользователи без специальной технической подготовки. Они действовали через автоматизированные инструменты, такие как DDoSia, получали инструкции через мессенджеры и пророссийские онлайн-форумы. Применялись методы геймификации: более 4000 пользователей поощряли криптовалютными выплатами, рейтингами, значками, что стимулировало постоянную активность и привлечение новых участников.

В рамках превентивных мер через мессенджеры были разосланы юридические предупреждения более 1000 лицам, которых считают активными сторонниками сети. Отдельные лица, включая 15 администраторов, получили сообщение о персональной уголовной ответственности в соответствии с национальным законодательством. Профили пяти подозреваемых добавлены в список наиболее разыскиваемых лиц на платформе EU Most Wanted.

Операцию поддерживали Совместная рабочая группа по борьбе с киберпреступностью J-CAT при Европоле и Национальные координационные центры стран-участниц. В день активной фазы в штаб-квартире Европола работал координационный центр с представителями Франции, Германии, Испании, Нидерландов и Евроюста. В то же время для других стран был открыт виртуальный командный пункт. Евроюст обеспечил юридическую координацию, включая получение европейских ордеров на расследование и правовой помощи.

Ранее сообщалось, что украинский Киберкорпус ГУР совместно с "Украинским киберальянсом" и группой BO Team провели успешную кибератаку на одного из ключевых производителей дронов в России - компанию "Гаскар Интеграция". В результате было уничтожено более 47 терабайт данных, парализовано производство и заблокирован доступ к внутренним системам.