Wereldwijde operatie treft pro-Russisch cybercriminelennetwerk NoName057(16)

Tussen 14 en 17 juli vond een grootschalige internationale politieactie plaats onder de codenaam Operation Eastwood, gericht tegen het pro-Russische cybercriminelennetwerk NoName057(16). Deze actie werd gecoördineerd door Europol en Eurojust, en uitgevoerd door wetshandhavings- en justitiële autoriteiten uit onder meer Tsjechië, Frankrijk, Finland, Duitsland, Italië, Litouwen, Polen, Spanje, Zweden, Zwitserland, Nederland en de Verenigde Staten. Ook landen als België, Canada, Estland, Denemarken, Letland, Roemenië en Oekraïne leverden ondersteuning, evenals de Europese cyberveiligheidsinstantie ENISA en technische partners zoals ShadowServer en abuse.ch.

De operatie leidde tot de ontmanteling van een aanvalsinfrastructuur die wereldwijd uit meer dan honderd computersystemen bestond. Een aanzienlijk deel van de centrale servers van het netwerk werd offline gehaald. In totaal zijn er zeven arrestatiebevelen uitgevaardigd, waarvan zes door Duitsland tegen personen woonachtig in de Russische Federatie. Twee van deze verdachten worden beschouwd als hoofdorganisatoren van de activiteiten van NoName057(16). Vijf profielen van gezochte personen zijn gepubliceerd op de website EU Most Wanted.

Aangrijpen van individuen en ondersteuners

Honderden vermoedelijke aanhangers van het netwerk zijn persoonlijk benaderd via een populaire berichtenapp. In deze berichten werden zij geïnformeerd over hun mogelijke strafrechtelijke aansprakelijkheid volgens de nationale wetgeving van hun land. De meeste aanhangers zijn Russisch sprekende sympathisanten die gebruik maken van geautomatiseerde tools voor het uitvoeren van Distributed Denial-of-Service (DDoS)-aanvallen. Deze personen handelen doorgaans zonder centrale aansturing of geavanceerde technische kennis. Hun motivatie is grotendeels ideologisch of gebaseerd op beloningen.

Resultaten van Operatie Eastwood:

• 2 arrestaties: (1 voorlopige aanhouding in Frankrijk, 1 in Spanje)

• 7 arrestatiebevelen uitgevaardigd: (6 door Duitsland, 1 door Spanje)

• 24 huiszoekingen: (2 in Tsjechië, 1 in Frankrijk, 3 in Duitsland, 5 in Italië, 12 in Spanje, 1 in Polen)

• 13 ondervragingen: (2 in Duitsland, 1 in Frankrijk, 4 in Italië, 1 in Polen, 5 in Spanje)

• Meer dan 1.000 aanhangers geïdentificeerd en gewaarschuwd, waaronder 15 administrators

• Meer dan 100 servers wereldwijd offline gehaald

• Belangrijke infrastructuur van NoName057(16) uitgeschakeld

Gericht op Oekraïne en haar bondgenoten

NoName057(16) richtte zich oorspronkelijk op Oekraïne, maar breidde zijn aanvallen uit naar landen die Oekraïne steunen in de verdediging tegen de Russische invasie. De meeste doelwitten zijn NAVO-lidstaten of EU-landen.

In Duitsland vonden sinds november 2023 veertien golven van cyberaanvallen plaats, gericht op meer dan 250 instellingen en bedrijven. In Zwitserland werden in juni 2023 en juni 2024 aanvallen gelinkt aan het netwerk, respectievelijk tijdens een videotoespraak van de Oekraïense president aan het parlement en tijdens de Vredestop voor Oekraïne in Bürgenstock. Ook Nederland werd getroffen, onder meer tijdens de meest recente NAVO-top in 2024. Alle aanvallen konden tijdig worden gemitigeerd zonder grote verstoringen.

Internationale coördinatie

Europol speelde een centrale rol in de uitwisseling van informatie, coördinatie van acties en ondersteuning met forensische en crypto-tracking expertise. Er werden meer dan 30 overlegmomenten georganiseerd en een coördinatiecentrum werd opgezet tijdens de actieperiode, met vertegenwoordigers uit diverse landen. Daarnaast werd een Virtueel Commandocentrum opgezet om andere landen direct met het centrum in Den Haag te verbinden.

Ook Eurojust ondersteunde de operatie juridisch, door middel van het coördineren van Europese Onderzoeksbevelen en rechtshulpverzoeken. Op 15 juli stond Eurojust paraat om alle juridische zaken op het laatste moment te regelen.

De Joint Cybercrime Action Taskforce (J-CAT), een gespecialiseerd team van cyberliaisonofficieren binnen Europol, leverde additionele ondersteuning gedurende het hele onderzoek.

Manipulatie via gamificatie en cryptocurrency

Uit het onderzoek bleek dat NoName057(16) niet alleen ideologisch gemotiveerd was, maar ook gebruik maakte van gamificatie om jonge vrijwilligers te motiveren. Via pro-Russische kanalen, chats, forums en berichtenapps werden oproepen, handleidingen en updates gedeeld, vaak voorzien van spelachtige elementen zoals ranglijsten, badges en beloningen in cryptovaluta. Dit gaf deelnemers niet alleen financiële prikkels, maar ook een gevoel van status of erkenning.

Daarnaast werd gebruik gemaakt van het platform DDoSia, dat technische handelingen vereenvoudigde zodat ook minder ervaren gebruikers snel konden deelnemen aan aanvallen. Werving vond vaak plaats via online spelgemeenschappen of hackfora, waar bestaande leden hun netwerk inschakelden om nieuwe deelnemers te vinden.

Samenvatting

Operation Eastwood vormt een belangrijke internationale mijlpaal in de strijd tegen door staten gesteunde cybercriminaliteit. Het laat zien dat samenwerking tussen landen, instanties en de private sector kan leiden tot tastbare resultaten, zelfs tegen gedecentraliseerde netwerken van ideologisch gemotiveerde aanvallers. Hoewel NoName057(16) zwaar is getroffen, blijft waakzaamheid geboden: het netwerk had duizenden aanhangers, een eigen botnet en weet jongeren te bereiken via slimme online manipulatie.

Door: Drifter