Kishin në shënjestër Ukrainën dhe vendet aleate të saj, Europol dhe Eurojust godasin rrjetin rus të hakerëve NoName057(16)
Europol dhe Eurojust, njoftuan sot se kanë çmontuar rrjetin e hakerëve pro-rusë të njohur si NoName057(16), të cilët akuzohen për një sërë sulmesh kibernetike ndaj Ukrainës dhe vendeve aleate të saj, duke vënë në shënjestër infrastrukturë kritike në të gjithë Evropën.
Më 15 korrik, autoritetet shkatërruan një rrjet botnet, që përbëhej nga qindra kompjuterë dhe pajisje të infektuara në të gjithë botën. Gjatë operacionit u identifikuan edhe disa të dyshuar, ndërsa autoritetet evropiane thanë se drejtuesit kryesorë të këtij grupi ndodhen në Rusi.
Operacioni përfshiu 12 vende, ndërsa dy persona janë arrestuar: një në Francë dhe një tjetër në Spanjë.
Gjermania ka lëshuar gjashtë urdhër-arreste ndaj shtetasve të dyshuar me banim në Federatën Ruse. Dy nga këta dyshohet se janë organizatorët kryesorë të grupit. Në total, janë lëshuar shtatë urdhër-arreste, ndërsa të dyshuarit rusë janë gjashtë.
Grupi NoName057(16) akuzohet për kryerjen e sulmeve DDoS (sulme të shpërndara për mohimin e shërbimit), përmes të cilave mbingarkonin faqe interneti dhe aplikacione, duke i bërë ato të padisponueshme për përdoruesit.
Objektiva kryesorë ishin infrastruktura të ndjeshme, si ofrues të energjisë elektrike dhe rrjetet publike të transportit.
Sipas Eurojust, ky grup ka shprehur hapur mbështetjen për Rusinë që nga fillimi i agresionit ndaj Ukrainës. Vetëm në Gjermani janë regjistruar 14 sulme, disa prej të cilave kanë zgjatur për ditë të tëra dhe kanë goditur rreth 230 organizata, përfshirë edhe kompani të industrisë së mbrojtjes.
Sulme të ngjashme janë regjistruar në mbarë Evropën, sidomos gjatë zgjedhjeve evropiane. Në Suedi, në shënjestër ranë faqe qeveritare dhe banka, ndërsa në Zvicër, grupi sulmoi gjatë Samitit të Paqes për Ukrainën në qershor 2024. Kohët e fundit, edhe Holanda ka qenë objektiv gjatë samitit të NATO-s, po ashtu në qershor.
Midis 14 dhe 17 korrikut, një operacion i përbashkët ndërkombëtar, i njohur si Eastwood dhe i koordinuar nga Europol dhe Eurojust, shënjestroi rrjetin e krimit kibernetik NoName057(16). Autoritetet e zbatimit të ligjit dhe gjyqësore nga Çekia, Franca, Finlanda, Gjermania, Italia, Lituania, Polonia, Spanja, Suedia, Zvicra, Holanda dhe Shtetet e Bashkuara ndërmorën veprime të njëkohshme kundër shkelësve dhe infrastrukturës që i përkiste rrjetit pro-rus të krimit kibernetik.
Hetimi u mbështet gjithashtu nga ENISA, si dhe nga Belgjika, Kanadaja, Estonia, Danimarka, Letonia, Rumania dhe Ukraina. Palët private ShadowServer dhe abuse.ch gjithashtu ndihmuan në pjesën teknike të operacionit.
Veprimet çuan në ndërprerjen e një infrastrukture sulmi që përbëhej nga mbi njëqind sisteme kompjuterike në të gjithë botën, ndërsa një pjesë e madhe e infrastrukturës qendrore të serverit të grupit u nxor jashtë funksionit. Gjermania lëshoi gjashtë urdhër-arreste për shkelësit që jetonin në Federatën Ruse. Dy prej këtyre personave akuzohen se janë nxitësit kryesorë përgjegjës për aktivitetet e “NoName057(16)”.
Në total, autoritetet kombëtare kanë lëshuar shtatë urdhër-arreste, të cilat drejtohen, ndër të tjera, kundër gjashtë shtetasve rusë për përfshirjen e tyre në aktivitetet kriminale të NoName057(16). Të gjithë të dyshuarit janë të listuar si të kërkuar ndërkombëtarisht dhe në disa raste, identitetet e tyre janë publikuar në media. Pesë profile u publikuan gjithashtu në faqen e internetit të BE-së për Most Wanted.
Autoritetet kombëtare kanë kontaktuar disa qindra individë që besohet se janë mbështetës të rrjetit të krimit kibernetik. Mesazhet, të ndara nëpërmjet një aplikacioni të njohur për mesazhe, informojnë marrësin për masat zyrtare duke theksuar përgjegjësinë penale që ata mbajnë për veprimet e tyre në përputhje me legjislacionin kombëtar. Individët që veprojnë për NoName057(16) janë kryesisht simpatizantë rusishtfolës që përdorin mjete të automatizuara për të kryer sulme të shpërndara të mohimit të shërbimit (DDoS). Duke vepruar pa udhëheqje formale ose aftësi teknike të sofistikuara, ata motivohen nga ideologjia dhe shpërblimet.
Rezultatet e përgjithshme të Operacionit Eastwood
- 2 arrestime (1 arrestim paraprak në Francë dhe 1 në Spanjë)
- 7 urdhër-arreste të lëshuara (6 nga Gjermania dhe 1 nga Spanja)
- 24 kontrolle shtëpish (2 në Çeki, 1 në Francë, 3 në Gjermani, 5 në Itali, 12 në Spanjë, 1 në Poloni)
- U pyetën 13 individë (2 në Gjermani, 1 në Francë, 4 në Itali, 1 në Poloni, 5 në Spanjë)
- Mbi 1 000 mbështetës, 15 prej të cilëve administratorë, u njoftuan për përgjegjësinë e tyre ligjore nëpërmjet një aplikacioni mesazhesh.
- Mbi 100 servera të ndërprerë në të gjithë botën
- Një pjesë e madhe e infrastrukturës kryesore të NoName057(16) është hequr nga funksioni
Përpjekje për ndërprerje të programeve DDoS nga NoName057(16) në favor të Rusisë
Kryerësit e krimit kibernetik të lidhur me rrjetin NoName057(16) kishin në shënjestër kryesisht Ukrainën, por e kanë zhvendosur fokusin e tyre në sulmin ndaj vendeve që mbështesin Ukrainën në mbrojtjen e vazhdueshme kundër luftës së agresionit rus, shumë prej të cilave janë anëtare të NATO-s.
Autoritetet kombëtare kanë raportuar një numër sulmesh kibernetike të lidhura me aktivitetet kriminale NoName057(16). Në vitet 2023 dhe 2024, rrjeti kriminal ka marrë pjesë në sulme kundër autoriteteve suedeze dhe faqeve të internetit të bankave. Që nga fillimi i hetimeve në nëntor 2023, Gjermania pa 14 valë të ndara sulmesh që synonin më shumë se 250 kompani dhe institucione.
Në Zvicër, sulme të shumta u kryen gjithashtu në qershor 2023, gjatë një videomesazhi ukrainas drejtuar Parlamentit të Përbashkët, dhe në qershor 2024, gjatë Samitit të Paqes për Ukrainën në Bürgenstock. Kohët e fundit, autoritetet holandeze konfirmuan se një sulm i lidhur me këtë rrjet ishte kryer gjatë samitit të fundit të NATO-s në Holandë. Të gjitha këto sulme janë zbutur pa ndonjë ndërprerje të konsiderueshme.
Koordinim qendror për të synuar rrjetin e krimit kibernetik pro-rus
Europol lehtësoi shkëmbimin e informacionit dhe mbështeti koordinimin e aktiviteteve operative, duke shërbyer si një qendër për komunikimin midis autoriteteve kombëtare dhe agjencive të BE-së. Për këtë qëllim, Europol organizoi mbi 30 takime online dhe offline dhe dy sprinte operacionale. Europol gjithashtu lehtësoi bashkëpunimin me partnerë privatë, të cilët ofruan ndihmën e tyre si përpara ashtu edhe pas operacionit. Agjencia ofroi mbështetje të gjerë analitike, si dhe gjurmimin e kriptomonedhave dhe ekspertizë mjeko-ligjore gjatë rrjedhës së hetimit. Europol koordinoi fushatën parandaluese, të cilën u njoftua bashkëpunëtorëve të dyshuar përmes aplikacioneve të mesazheve dhe kanaleve të mediave sociale.
Gjatë ditës së aksionit kundër bashkëpunëtorëve të NoName057(16), Europol ngriti një qendër koordinimi në selinë e saj me përfaqësues nga Franca, Gjermania, Spanja, Holanda dhe Eurojust, dhe vuri në dispozicion një Postë Komanduese Virtuale për të lidhur vendet e tjera pjesëmarrëse me qendrën e koordinimit.
Task Forca e Përbashkët e Veprimit Kundër Krimit Kibernetik (J-CAT) në Europol mbështeti gjithashtu operacionin. Ky ekip operativ përbëhet nga oficerë ndërlidhës kibernetikë nga vende të ndryshme që punojnë nga e njëjta zyrë në selinë e Europolit, duke ofruar forma të ndryshme mbështetjeje për hetimet e krimit kibernetik të profilit të lartë.
Nëpërmjet Eurojust-it, autoritetet ishin në gjendje të koordinonin aktivitetet gjyqësore dhe të planifikonin masat e tyre përkatëse gjatë ditës së veprimit. Agjencia siguroi ekzekutimin e Ndihmës së Ndërsjellë Ligjore dhe Urdhrave të shumtë Hetimorë Evropianë. Gjatë ditës së veprimit më 15 korrik, Eurojust koordinoi çdo kërkesë gjyqësore të minutës së fundit të kërkuar gjatë operacionit.
Manipulim i gamifikuar për të motivuar sulmet kibernetike pro-ruse
Hetimet nga autoritetet kombëtare e identifikuan NoName057(16) si një rrjet kriminal ideologjik që është parë të deklarojë mbështetje për Federatën Ruse dhe, në kontekstin e luftës së agresionit rus kundër Ukrainës, është lidhur me sulme të shumta kibernetike DDoS. Gjatë sulmeve të tilla, një faqe interneti ose shërbim online përmbytet me trafik me qëllim mbingarkesën e saj dhe bërjen të padisponueshme. Përveç aktiviteteve të rrjetit, të vlerësuara në mbi 4 000 mbështetës, grupi ishte gjithashtu në gjendje të ndërtonte botnet-in e vet të përbërë nga disa qindra servera, të përdorur për të rritur ngarkesën e sulmit.
Për të ndarë thirrje për veprim, tutoriale, përditësime dhe për të rekrutuar vullnetarë, grupi shfrytëzoi kanale, forume dhe madje edhe grupe chati pro-ruse në mediat sociale dhe aplikacionet e mesazheve. Vullnetarët shpesh ftonin miq ose kontakte nga forume lojërash ose hakerimi, duke formuar qarqe të vogla rekrutimi. Këta aktorë përdorën platforma si DDoSia për të thjeshtuar proceset teknike dhe për të ofruar udhëzime, duke u mundësuar rekrutëve të rinj të bëheshin operativë shpejt.
Pjesëmarrësit u paguan gjithashtu me kriptomonedha, gjë që nxiti përfshirjen e qëndrueshme dhe tërhoqi oportunistët. Imitimi i dinamikave të lojës, përshëndetjet e rregullta, tabelat e renditjes ose distinktivat u dhanë vullnetarëve një ndjenjë statusi. Ky manipulim i gamifikuar, shpesh i synuar ndaj shkelësve të rinj, u përforcua emocionalisht nga një narrativë e mbrojtjes së Rusisë ose hakmarrjes ndaj ngjarjeve politike.
