Tarptautinė operacija „Eastwood“ – kirtis prorusiškai hakerių grupuotei

Teisėsaugos institucijos iš Vokietijos, Čekijos, Prancūzijos, Suomijos, Italijos, Lietuvos, Lenkijos, Ispanijos, Švedijos, Šveicarijos, Nyderlandų ir Jungtinių Amerikos Valstijų vienu metu ėmėsi koordinuotų veiksmų prieš grupuotės narius ir jų naudojamą infrastruktūrą.

Operaciją koordinuoja Europolas, ją remia Eurojustas, ENISA, taip pat Belgija, Kanada, Estija, Danija, Latvija, Rumunija ir Ukraina. Prie operacijos prisijungė ir partneriai iš privataus sektoriaus – „ShadowServer“ bei „abuse.ch“.

Operacijos metu sutrikdyta grupuotės naudotos infrastruktūros veikla, kurią sudarė daugiau nei šimtas kompiuterinių sistemų visame pasaulyje, o didžioji dalis grupuotės centrinių serverių buvo atjungta nuo tinklo.

Vokietija išdavė šešis arešto orderius Rusijoje gyvenantiems asmenims, įskaitant du pagrindinius NoName057(16) grupuotės narius, atsakingus už grupės veiklą. Iš viso nacionalinės institucijos išdavė septynis arešto orderius Rusijos piliečiams, įtariamiems dalyvavus nusikalstamoje veikloje. Penki ieškomų asmenų profiliai buvo paskelbti ES labiausiai ieškomų asmenų svetainėje.

Operacijos „Eastwood“ rezultatai:

• 2 sulaikymai (preliminariai 1 – Prancūzijoje ir 1 – Ispanijoje);
• išduoti 7arešto orderiai (6 – Vokietijoje, 1 - Ispanijoje);
• atliktos 24 kratos (2 – Čekijoje, 1 – Prancūzijoje, 3 – Vokietijoje, 5 – Italijoje, 12 – Ispanijoje, 1 - Lenkijoje);
• apklausti 13 asmenų (2 – Vokietijoje, 1 – Prancūzijoje, 4 – Italijoje, 1 – Lenkijoje, 5 – Ispanijoje)
• daugiau nei 1 000 šalininkų, iš kurių 15 – administratoriai, informuoti apie teisinę atsakomybę;
• didžioji dalis grupuotės centrinių serverių buvo atjungta nuo tinklo.

Be įprastų teisinių priemonių, nacionalinės institucijos taip pat inicijavo kontaktą su keliais šimtais dar nenustatytų asmenų, palaikančių hakerių veiklą. Per pranešimų siuntimo platformas jiems buvo išsiųstos žinutės, kuriose jie informuojami apie pradėtas oficialias procedūras ir galimą baudžiamąją atsakomybę pagal jų šalių įstatymus.

Šie asmenys – daugiausia rusakalbiai – naudojantys automatizuotas priemones, skirtas vykdyti paskirstytas paslaugų trikdymo (DDoS) atakas. Jų veiksmai – dalis hibridinių atakų, kuriomis siekiama destabilizuoti demokratinius procesus ir visuomenės saugumo jausmą.

Tarptautinės operacijos „Eastwood“ koordinavimas

Tarptautinės operacijos dieną Europolo būstinėje buvo įsteigtas operacijų valdymo centras, kuriame dirbo atstovai iš Prancūzijos, Vokietijos, Ispanijos, Nyderlandų ir Eurojusto. Taip pat buvo sukurta virtuali valdymo platforma, leidusi operacijoje dalyvaujančioms šalims nuotoliniu būdu prisijungti prie valdymo centro.

Operacijoje taip pat dalyvavo Europolo Jungtinis kibernetinių nusikaltimų padalinys (J-CAT) – nuolatinė komanda, kurioje dirba kibernetinių nusikaltimų ryšių pareigūnai iš įvairių šalių, teikiantys įvairiapusę pagalbą sudėtinguose tyrimuose.

NoName057(16) vykdytos kibernetinės atakos

Su NoName057(16) grupuote siejami asmenys iš pradžių taikėsi į Ukrainą, tačiau vėliau dėmesį nukreipė į šalis, remiančias Ukrainą kare su Rusija – dauguma jų yra NATO narės. Pastaruoju metu viena iš atakų buvo surengta per NATO viršūnių susitikimą Nyderlanduose.

2023 ir 2024 metais grupuotė dalyvavo atakose prieš Švedijos institucijas bei bankų svetaines. Nuo tyrimų pradžios 2023 m. lapkritį Vokietijoje užfiksuota 13 atakų bangų, nukreiptų prieš maždaug 230 įmonių ir institucijų.

2023 m. ir 2024 m. birželį kibernetinės atakos buvo surengtos Šveicarijoje per svarbius Ukrainos renginius. Vis dėlto šios atakos buvo sėkmingai suvaldytos, išvengiant reikšmingų veiklos sutrikimų.

Kaip veikė NoName057(16)?

NoName057(16) – tai ideologinė hakerių grupuotė, atvirai reiškianti paramą Rusijai bei Rusijos ir Ukrainos karo kontekste vykdanti DDoS tipo kibernetines atakas. Tokios atakos metu interneto svetainė ar paslauga tyčia užtvindoma didžiuliu duomenų srautu, kad taptų nepasiekiama vartotojams.

Šiai grupei, turinčiai daugiau nei 4 000 jos veiklą palaikančių asmenų, pavyko sukurti ir nuosavą „botnet“ tinklą – šimtus serverių sudarančią infrastruktūrą, naudotą atakų pajėgumui didinti.

Siekdama skleisti raginimus veikti, dalintis instrukcijomis, atnaujinimais ir verbuoti savanorius, grupuotė naudojosi prorusiškais kanalais, forumais ir nišinėmis pokalbių grupėmis socialiniuose tinkluose bei žinučių siuntimo programėlėse.

Savanoriai dažnai kviesdavo prisijungti pažįstamus iš žaidimų ar hakerių bendruomenių, taip formuodami nedidelius verbavimo ratus. Jie naudojo platformas, tokias kaip „DDoSia“, kurios supaprastindavo techninius procesus ir pateikdavo aiškias instrukcijas, leidžiančias naujokams greitai įsitraukti į veiklą.

Dalyviams dažnai buvo mokama kriptovaliutomis, kas skatino ilgalaikį įsitraukimą ir pritraukė ženklų sekėjų ratą. Pasitelkiant žaidybinius principus – viešus paminėjimus, lyderių lenteles, virtualius ženkliukus – savanoriams buvo kuriamas svarbos ir pripažinimo jausmas. Ši žaidybinė manipuliacija, buvo nukreipta į jaunesnius asmenis, buvo emociškai sustiprinama naratyvu apie „Rusijos gynimą“ ar „kerštą“ už politinius įvykius.

Kibernetinės grėsmės nepaiso sienų, todėl atsakas į jas turi būti globalus ir darniai koordinuotas. Tarptautinis bendradarbiavimas leidžia greičiau keistis informacija, identifikuoti grėsmes ir užkirsti kelią plataus masto atakoms. Tik bendromis pastangomis galime efektyviai atremti kibernetinius išpuolius.

Lietuvos policijos informacija