Полиция отключила 100 серверов, связанных с российским NoName057(16), арестованы 2 человека

На этой неделе правоохранительные органы десятка стран провели скоординированную операцию по уничтожению инфраструктуры пророссийской хакерской группы NoName057(16) . Операция под названием «Иствуд» проводилась Европолом и Евроюстом и охватывала всю Европу и Северную Америку.

NoName057(16) известен тем, что наводняет веб-сайты трафиком, совершая политически мотивированные распределённые атаки типа «отказ в обслуживании» (DDoS) . Их обычными целями были платформы украинского правительства и критически важные сайты в странах НАТО, поддерживающих Украину.

Хотя многие из их атак действовали деструктивно, они редко наносили долгосрочный ущерб благодаря быстрому противодействию со стороны атакуемых организаций. Примечательно, что эта группа не полагалась на элитных хакеров с передовыми технологиями. Её сила заключалась в численности. Следователи обнаружили, что в атаке участвовало более 4000 человек, многие из которых были русскоязычными и обладали ограниченными техническими навыками.

Группа активно использовала инструменты автоматизации и «игровые приемы» для привлечения и мотивации подписчиков. Некоторых привлекали криптовалютные платежи и приветственные сообщения в стиле рейтинговых таблиц, превращавшие кибератаки в своего рода соревновательный вид спорта.

Согласно пресс-релизу Европола, в ходе совместной операции, проведённой с 14 по 17 июля, были отключены более 100 серверов, связанных с деятельностью группы. Власти также провели 24 обыска в домах в семи странах, допросили 13 человек и произвели два ареста во Франции и Испании.

Германия, которая стала одной из основных целей деятельности группировки, выдала шесть ордеров на арест. Среди них двое человек, обвиняемых в ключевой роли в операциях NoName057(16). Всего было выдано семь ордеров на арест, все из которых связаны с гражданами России, находящимися в международном розыске.

С момента своего появления NoName057(16) также атаковал страны, оказывавшие Украине военную или дипломатическую поддержку. Только в Германии с конца 2023 года было проведено 14 волн DDoS-атак, затронувших более 250 организаций. Аналогичные попытки были зафиксированы во время крупных политических мероприятий в Швейцарии и Нидерландах, включая саммит НАТО и Мирный саммит Украины 2024 года.

Следователи также пошли другим путём, чтобы оказать давление на участников, занимающих низшие должности. Более 1000 сторонников сети получили официальные предупреждения через мессенджеры, причём 15 из них были отмечены как администраторы. В сообщениях им напоминали об их индивидуальной юридической ответственности в соответствии с национальным законодательством.

Власти также отметили, что NoName057(16) не нуждается в традиционной иерархии команд для своей деятельности. Вместо этого они использовали сочетание мессенджеров, социальных сетей и онлайн-форумов для распространения руководств по атакам, обновлений и пропаганды. Эти каналы также вербовали людей, часто выходцев из игровых или низкоуровневых хакерских сообществ.

Хотя операция «Иствуд» нарушила инфраструктуру NoName057(16), это не означает, что группировка прекратила своё существование. Российские группировки имеют опыт ребрендинга или перегруппировки, продолжая свои атаки.