Polizei schaltet 100 Server ab, die mit dem Russen NoName057(16) in Verbindung stehen, Festnahme 2

In einer koordinierten Operation schlossen sich diese Woche Strafverfolgungsbehörden aus zwölf Ländern zusammen, um die Infrastruktur der prorussischen Hackergruppe NoName057(16) zu zerschlagen. Die Operation mit dem Namen Eastwood wurde von Europol und Eurojust geleitet und umfasste Einsätze in ganz Europa und Nordamerika.

NoName057(16) ist dafür bekannt, Webseiten mit politisch motivierten Distributed-Denial-of-Service -Angriffen (DDoS) zu überfluten. Ihre üblichen Ziele reichen von ukrainischen Regierungsplattformen bis hin zu kritischen Webseiten in NATO-Ländern, die die Ukraine unterstützen.

Obwohl viele ihrer Angreifer Störungen verursachten, verursachten sie aufgrund der schnellen Abwehrmaßnahmen der angegriffenen Organisationen selten dauerhaften Schaden. Bemerkenswert ist, dass sich diese Gruppe nicht auf Elite-Hacker mit fortschrittlichen Techniken stützte. Ihre Stärke beruhte vielmehr auf ihrer Anzahl. Die Ermittler fanden mehr als 4.000 beteiligte Personen, viele von ihnen russischsprachig und mit begrenzten technischen Kenntnissen.

Die Gruppe setzte stark auf Automatisierungstools und spielerische Taktiken, um Anhänger zu gewinnen und zu motivieren. Einige wurden mit Kryptowährungszahlungen und Shoutouts im Leaderboard-Stil angelockt, wodurch Cyberangriffe zu einer Art Wettkampfsport wurden.

Laut einer Pressemitteilung von Europol wurden während der gemeinsamen Operation vom 14. bis 17. Juli über 100 Server, die mit den Aktivitäten der Gruppe in Verbindung standen, offline genommen. Die Behörden führten außerdem 24 Hausdurchsuchungen in sieben Ländern durch, befragten 13 Personen und nahmen in Frankreich und Spanien zwei Personen fest.

Deutschland, ein Hauptziel der Aktivitäten der Gruppe, erließ sechs Haftbefehle. Darunter sind auch zwei Personen, denen vorgeworfen wird, zentrale Figuren in den Aktivitäten von NoName057(16) zu sein. Insgesamt wurden sieben Haftbefehle erlassen, alle im Zusammenhang mit russischen Staatsbürgern, die mittlerweile international gesucht werden.

Seit seinem Auftauchen zielte NoName057(16) auch auf Länder ab, die die Ukraine militärisch oder diplomatisch unterstützten. Allein in Deutschland trafen seit Ende 2023 14 DDoS-Angriffswellen mehr als 250 Organisationen. Ähnliche Angriffe wurden bei wichtigen politischen Ereignissen in der Schweiz und den Niederlanden gemeldet, darunter beim NATO-Gipfel und dem Ukraine-Friedensgipfel 2024.

Die Ermittler gingen auch einen anderen Weg, um Druck auf weniger aktive Teilnehmer auszuüben. Mehr als 1.000 Unterstützer des Netzwerks erhielten offizielle Warnungen über Messenger-Apps, 15 von ihnen wurden als Administratoren gekennzeichnet. Die Nachrichten erinnerten sie an ihre individuelle Haftung nach nationalem Recht.

Die Behörden wiesen zudem darauf hin, dass NoName057(16) keine traditionelle Befehlskette benötigt, um aktiv zu bleiben. Stattdessen nutzte die Gruppe einen Mix aus Messaging-Apps, sozialen Medien und Online-Foren, um Angriffsanleitungen, Updates und Propaganda zu verbreiten. Über diese Kanäle wurden auch Einzelpersonen angeworben, oft aus der Gaming- oder Low-Level-Hacking-Community.

Obwohl die Operation Eastwood die Infrastruktur von NoName057(16) lahmgelegt hat, bedeutet das nicht, dass die Gruppe am Ende ist. In Russland ansässige Gruppen haben sich bereits mehrfach umbenannt oder neu gruppiert und ihre Angriffe fortgesetzt.