La police a fermé 100 serveurs liés au numéro russe NoName057(16) et a arrêté 2 personnes.

Cette semaine, dans le cadre d'une opération coordonnée, les forces de l'ordre d'une douzaine de pays se sont mobilisées pour tenter de démanteler l'infrastructure du groupe de pirates informatiques prorusse connu sous le nom de NoName057(16) . L'opération, baptisée Eastwood, était menée par Europol et Eurojust et impliquait des actions en Europe et en Amérique du Nord.

NoName057(16) est connu pour inonder des sites web de trafic lors d'attaques par déni de service distribué (DDoS) à motivation politique. Ses cibles habituelles vont des plateformes gouvernementales ukrainiennes aux sites web critiques des pays de l'OTAN qui soutiennent l'Ukraine.

Si nombre de leurs attaquants étaient perturbateurs, ils causaient rarement des dommages durables grâce à la rapidité d'intervention des organisations ciblées. Il est remarquable que ce groupe ne s'appuyait pas sur des hackers d'élite aux techniques avancées. Sa force résidait plutôt dans le nombre. Les enquêteurs ont identifié plus de 4 000 personnes impliquées, dont beaucoup étaient russophones et avaient des compétences techniques limitées.

Le groupe s'est largement appuyé sur des outils d'automatisation et des « tactiques ludiques » pour recruter et motiver ses abonnés. Certains ont été attirés par des paiements en cryptomonnaies et des messages de type classement, transformant les cyberattaques en une forme de sport de compétition.

Selon le communiqué de presse d'Europol, au cours de l'opération conjointe menée du 14 au 17 juillet, plus de 100 serveurs liés aux opérations du groupe ont été mis hors ligne. Les autorités ont également procédé à 24 perquisitions domiciliaires dans sept pays, interrogé 13 personnes et procédé à deux arrestations en France et en Espagne.

L'Allemagne, cible majeure des activités du groupe, a émis six mandats d'arrêt. Parmi eux, deux personnes accusées d'être des figures centrales des opérations de NoName057(16). Sept mandats d'arrêt ont été émis au total, tous liés à des ressortissants russes désormais recherchés au niveau international.

Depuis son apparition, NoName057(16) a également ciblé des pays qui soutenaient l'Ukraine par un soutien militaire ou diplomatique. Rien qu'en Allemagne, 14 vagues d'attaques DDoS depuis fin 2023 ont touché plus de 250 organisations. Des tentatives similaires ont été signalées lors d'événements politiques majeurs en Suisse et aux Pays-Bas, notamment le sommet de l'OTAN et le sommet de la paix en Ukraine de 2024.

Les enquêteurs ont également adopté une approche différente pour faire pression sur les participants de moindre importance. Plus de 1 000 sympathisants du réseau ont reçu des avertissements officiels via des applications de messagerie, dont 15 signalés comme administrateurs. Ces messages leur rappelaient leur responsabilité juridique individuelle en vertu des lois nationales.

Les autorités ont également souligné que NoName057(16) n'avait pas besoin d'une chaîne de commandement traditionnelle pour fonctionner. Il utilisait plutôt une combinaison d'applications de messagerie, de réseaux sociaux et de forums en ligne pour diffuser des guides d'attaque, des mises à jour et de la propagande. Ces canaux recrutaient également des individus, souvent issus de communautés de joueurs ou de hackers de bas niveau.

Bien que l'opération Eastwood ait perturbé l'infrastructure de NoName057(16), cela ne signifie pas que le groupe est fini. Les groupes basés en Russie ont l'habitude de changer d'image ou de se regrouper et de poursuivre leurs attaques.