Operazione Eastwood smantellamento dei hacktivisti filorussiNoName05716 NoName057(16)

Operazione Eastwood: smantellamento dei hacktivisti filorussi NoName057(16)

A cura di:Redazione Ore

L’Operazione Eastwood, condotta dal 14 al 17 luglio 2025, rappresenta la più ampia e coordinata risposta internazionale delle forze dell’ordine contro la criminalità informatica ideologicamente motivata mai realizzata nella storia.

Nel corso di quattro giorni, l’operazione ha portato alla disarticolazione del gruppo hacktivista filorusso NoName057(16), responsabile di oltre 1.500 attacchi DDoS ai danni di infrastrutture digitali in Europa a partire da marzo 2022.

Questa straordinaria iniziativa ha coinvolto le autorità di 12 Paesi, comportato lo smantellamento di infrastrutture critiche del gruppo, e stabilito un nuovo precedente giuridico, trattando le attività hacktiviste non più come semplici reati informatici, ma come atti di terrorismo.

Una svolta giuridica nella risposta ai cyber-attacchi

Il significato dell’operazione va ben oltre il successo tattico immediato. La magistratura italiana ha infatti contestato ai sospettati reati di terrorismo ai sensi dell’articolo 270-bis del Codice Penale, che prevede pene dai 7 ai 15 anni di reclusione, segnando un cambio di paradigma nella risposta delle democrazie occidentali alle minacce informatiche di matrice statale.

Sebbene siano stati effettuati solo due arresti (in Francia e Spagna), a causa del fatto che la maggior parte degli indagati risiede in Russia, l’operazione ha dimostrato la capacità della comunità internazionale di agire congiuntamente contro avversari cyber sofisticati.

Il bersaglio: una rete hacktivista sofisticata

Il gruppo NoName057(16) è emerso nel marzo 2022 in concomitanza con l’invasione russa dell’Ucraina, presentandosi come un collettivo hacktivista filorusso a sostegno dell’aggressione militare.

Il nome del gruppo fa riferimento alla data del proprio manifesto (11 marzo 2022) e l’evoluzione è stata rapida: dai primi attacchi a siti di notizie ucraini, il gruppo ha iniziato a colpire sistematicamente enti pubblici e infrastrutture nei Paesi membri della NATO e dell’UE.

A differenza di molti collettivi hacktivisti, NoName057(16) si è distinto per l’alto livello di organizzazione tecnica e logistica. Ha reclutato oltre 4.000 simpatizzanti attraverso canali Telegram gamificati, offrendo ricompense in criptovalute (da 290 a 1.150 dollari) e riconoscimenti pubblici per gli “attivisti” più attivi.

Il toolkit DDoSia, inizialmente basato su semplici script in Python, si è evoluto in un sofisticato software scritto in Go, compatibile con diversi sistemi operativi, dotato di canali cifrati di comunicazione e meccanismi automatizzati per la distribuzione dei target.

Il nome “DDoSia” è un gioco di parole tra “DDoS” (Distributed Denial of Service) e “Rossiya” (Russia in cirillico), riflettendo sia la funzione tecnica dello strumento sia l’ideologia del gruppo che lo impiega.

Caratteristiche tecniche di DDoSia

DDoSia si è evoluto rapidamente nel tempo, passando da un semplice script a un vero e proprio toolkit multi-piattaforma con le seguenti funzionalità avanzate:

  • Scritto in linguaggio Go, supporta Windows, Linux e macOS
  • Utilizza comunicazioni cifrate per eludere il rilevamento
  • Integra meccanismi di distribuzione automatica dei target
  • Permette l’esecuzione di attacchi DDoS coordinati e simultanei
  • Include sistemi di tracking e punteggio per incentivare i partecipanti (una forma di “gamification”)
  • È integrato con canali Telegram, attraverso cui vengono fornite istruzioni e aggiornamenti agli utenti

Funzionamento

Il software viene installato volontariamente dagli “attivisti” reclutati da NoName057(16), trasformando i loro dispositivi in nodi attivi della botnet, con cui lanciare attacchi verso siti web istituzionali, infrastrutture critiche e altri obiettivi geopolitici.

Ogni attacco contribuisce al “punteggio” dell’utente, e i membri più attivi ricevono ricompense in criptovaluta e visibilità pubblica nei canali Telegram.

In sintesi, DDoSia è lo strumento tecnico alla base della forza offensiva di NoName057(16), pensato per rendere scalabile, ideologicamente motivato e incentivato il cyberattivismo in chiave filorussa.

Obiettivi strategici e interessi geopolitici

Il modello operativo di NoName057(16) ha combinato motivazioni ideologiche con incentivi economici, creando una rete sostenibile e reattiva, in grado di sferrare in media da 5 a 15 attacchi al giorno.

I target erano selezionati in linea con gli interessi geopolitici russi: ministeri, infrastrutture critiche, appaltatori della difesa, istituzioni finanziarie nei Paesi sostenitori dell’Ucraina. In Italia, sono stati colpiti: gli aeroporti di Malpensa e Linate, i porti di Taranto, Trieste e Genova, le banche Intesa Sanpaolo e Monte dei Paschi, oltre a numerosi siti governativi.

Otto mesi di indagini internazionali

L’indagine su NoName057(16) ha avuto inizio nel novembre 2023, a seguito di 14 ondate di attacchi che avevano colpito oltre 250 organizzazioni tedesche.

La complessità delle operazioni ha richiesto un coordinamento senza precedenti attraverso Europol ed Eurojust, con oltre 30 incontri pianificativi e due “sprint” operativi.

Europol ha istituito un centro di coordinamento presso la propria sede, collegando fisicamente le autorità di Francia, Germania, Spagna, Paesi Bassi ed Eurojust, con connessioni virtuali verso gli altri Stati coinvolti.

Il gruppo operava in maniera decentralizzata, con la leadership situata in Russia, rendendo difficile l’estradizione. Le indagini si sono concentrate su tracciamento di criptovalute, analisi forense del toolkit DDoSia, mappatura dell’infrastruttura botnet e decrittazione delle comunicazioni cifrate, grazie al contributo di aziende come Avast, Sekoia.io e SentinelLabs.

Una risposta globale coordinata

L’operazione è stata lanciata simultaneamente in 12 Paesi principali: Repubblica Ceca, Francia, Finlandia, Germania, Italia, Lituania, Polonia, Spagna, Svezia, Svizzera, Paesi Bassi e Stati Uniti.

Hanno fornito supporto anche 8 nazioni aggiuntive: Belgio, Canada, Estonia, Danimarca, Lettonia, Romania, Ucraina ed ENISA.

Malgrado i vincoli giurisdizionali, l’operazione ha portato alla disattivazione di oltre 100 server a livello globale. Solo le autorità italiane hanno smantellato oltre 600 server, cuore dell’infrastruttura operativa del gruppo.

La botnet è stata smantellata, interrompendo la distribuzione automatica dei target e le comunicazioni tra i membri. Sono state effettuate 24 perquisizioni domiciliari, con la Spagna al comando (12 interventi), due arresti (Francia e Spagna) e 7 mandati internazionali di cattura, tra cui 6 rilasciati dalla Germania contro cittadini russi.

Le autorità hanno inoltre contattato oltre 1.000 sostenitori del gruppo tramite app di messaggistica, avvertendoli delle responsabilità legali e dissuadendone la partecipazione attiva.

La svolta giuridica: cyberterrorismo

La risposta legale segna un punto di svolta. In Italia, gli indagati sono accusati di associazione con finalità di terrorismo internazionale, con pene fino a 15 anni per gli organizzatori e 10 anni per i partecipanti.

Anche la Germania ha emesso sei mandati di arresto per sabotaggio informatico in 83 episodi attribuiti a un unico sospetto. La Spagna, dopo tre arresti già effettuati nel 2023, ha proseguito la linea del procedimento per terrorismo.

Cinque cittadini russi sono stati inseriti nella lista EU Most Wanted, tra cui i due presunti leader: Andrey Muravyov (alias DaZBastaDraw) e Maxim Nikolaevich Lupin (alias s3rmax). Altri membri chiave: Olga Evstratova (ottimizzazione software d’attacco), Mihail Evgeyevich Burlakov (alias darkklogo), e Andrej Stanislavovich Avrosimow (83 casi di sabotaggio).

Stato attuale e sfide future

Il successo operativo ha avuto impatti significativi nel breve periodo, ma la presenza dei leader in Russia limita l’efficacia a lungo termine, considerato il sistematico rifiuto di Mosca di estradare i propri cittadini.

Le indagini proseguono su scala internazionale, focalizzandosi su collaboratori e amministratori. Non sono emerse al momento collaborazioni o accordi giudiziari, ma la campagna di comunicazione diretta sembra aver scoraggiato nuovi arruolamenti.

NoName057(16) ha mostrato segnali di tentativi di riorganizzazione, seppur con capacità operative fortemente ridotte. Gli esperti temono tentativi di rebranding o cambiamenti tecnici per sfuggire al monitoraggio, mentre la presenza dei leader in Russia costituisce un vero e proprio rifugio legale.

Conclusioni e implicazioni geopolitiche

L’Operazione Eastwood dimostra le potenzialità e i limiti della cooperazione internazionale contro le minacce informatiche di matrice statale. Ha portato a nuovi precedenti legali, una disruption infrastrutturale massiccia e un deterrente efficace verso migliaia di simpatizzanti.

Il caso ridefinisce il modo in cui le democrazie affrontano l’hacktivismo, spostando il paradigma da reato informatico a terrorismo geopolitico quando gli attacchi sono sistematici e colpiscono infrastrutture critiche.

Il coordinamento di oltre 12 Paesi contro una minaccia decentralizzata offre un modello replicabile per future operazioni contro cyber minacce transnazionali, pur evidenziando la dimensione geopolitica della lotta al cybercrime. Mentre NoName057(16) tenta di ricomporsi, il lascito dell’Operazione Eastwood dipenderà dalla perseveranza internazionale e dall’evoluzione giuridica nell’affrontare la nuova era delle operazioni informatiche allineate agli interessi statali.

Fonti:
Condividi sui Social Network:

Ultimi Articoli