Een internationale operatie gecoördineerd door Europol heeft de infrastructuur verstoord van een pro-Russische hacktivistische groep die bekend staat als Noname057 (16) die is gekoppeld aan een reeks gedistribueerde Denial-of-Service (DDOS) -aanvallen tegen Oekraïne en haar bondgenoten.
De acties hebben geleid tot het ontmantelen van een groot deel van de centrale serverinfrastructuur van de groep en meer dan 100 systemen over de hele wereld. De gezamenlijke inspanning omvatte ook twee arrestaties in Frankrijk en Spanje, zoekopdrachten van twee dozijn huizen in Spanje, Italië, Duitsland, de Tsjechische Republiek, Frankrijk en Polen, en de uitgifte van arrestatiebevelen voor zes Russische onderdanen.
De inspanning, codenaam Operatie Eastwood, vond plaats tussen 14 en 17 juli en betrof autoriteiten uit Tsjechië, Frankrijk, Finland, Duitsland, Italië, Litouwen, Polen, Spanje, Zweden, Zwitserland, Nederland en de Verenigde Staten. Het onderzoek werd ook ondersteund door België, Canada, Estland, Denemarken, Letland, Roemenië en Oekraïne.
Noname057 (16) is operationeel sinds maart 2022 en fungeert als een pro-Kremlin-collectief dat ideologisch gemotiveerde sympathisanten op Telegram mobiliseert om DDOS-aanvallen tegen websites te lanceren met behulp van een speciaal programma genaamd DDOSIA in ruil voor een cryptocurrency-betaling in een poging om ze geëxciteerd te houden. Het ontstond kort na de Russische invasie van Oekraïne.
Vijf personen uit Rusland zijn toegevoegd aan de meest gezochte lijst van de EU voor vermeende ondersteuning van Noname57 (16) –
- Andrey Muravyov (aka Dazbastadraw)
- Maxim Nikolaevich Lupin (aka S3rmax)
- Olga Evstratova (aka Olechochek, Olenka)
- Mihail Evgeyevich Burlakov (aka DDosator3000, DarkKlogo)
- Andrej Stanislavovich avrosimow (aka Ponyaska)
“Burlakov wordt ervan verdacht een centraal lid van de groep ‘Noname057 (16)’ te zijn en als zodanig een belangrijke bijdrage te hebben geleverd aan het uitvoeren van DDOS -aanvallen op verschillende instellingen in Duitsland en andere landen,” volgens een beschrijving die is geplaatst op de meest gezochte voortvluchtige site.
“In het bijzonder wordt hij ervan verdacht een leidende rol binnen de groep te nemen onder het pseudoniem ‘DarkKlogo’ en in deze rol van het nemen van beslissingen, waaronder de ontwikkeling en verdere optimalisatie van software voor de strategische identificatie van doelen en voor het ontwikkelen van de aanvalsoftware, evenals het uitvoeren van betalingen met betrekking tot het huren van ziektes servers.”
Evstratova, ook beschouwd als een kernlid van de groep, is beschuldigd van het nemen van verantwoordelijkheden om de DDOSIA -aanvalsoftware te optimaliseren. Avrosimow is toegeschreven aan 83 gevallen van computersabotage.
Europol zei dat ambtenaren hebben bereikt met meer dan 1.000 personen waarvan wordt aangenomen dat ze aanhangers zijn van het cybercriminaliteitsnetwerk, waardoor ze kennis hebben gemaakt over de strafrechtelijke aansprakelijkheid die ze dragen voor het orkestreren van DDOS -aanvallen met behulp van geautomatiseerde tools.
“Naast de activiteiten van het netwerk, geschat op meer dan 4.000 supporters, was de groep ook in staat om hun eigen botnet te bouwen bestaande uit enkele honderden servers, gebruikt om de aanvalsbelasting te vergroten,” merkte Europol op.
“Het nabootsen van game-achtige dynamiek, regelmatige shout-outs, leaderboards of badges boden vrijwilligers een gevoel van status. Deze gamified manipulatie, vaak gericht op jongere daders, werd emotioneel versterkt door een verhaal van het verdedigen van Rusland of het wreken van politieke gebeurtenissen.”
In de afgelopen jaren zijn dreigingsactoren waargenomen die een reeks aanvallen organiseren die gericht zijn op Zweedse autoriteiten en bankwebsites, evenals tegen 250 bedrijven en instellingen in Duitsland in de loop van 14 afzonderlijke golven sinds november 2023.
Afgelopen juli arresteerden de Spaanse La Guardia Civil drie verdachte leden van de groep voor deelname aan “Denial-of-Service cyberaanvallen op openbare instellingen en strategische sectoren van Spanje en andere NAVO-landen.”
De ontwikkeling komt omdat Russische hacktivistische groepen zoals Z-Pentest, Dark Engine en Sector 16 hun bezienswaardigheden in toenemende mate trainen op kritieke infrastructuur, verder gaan dan DDoS-aanvallen en website-defacements die doorgaans worden geassocieerd met ideologisch gemotiveerde cyberaanvallen.
“De groepen hebben berichten op elkaar afgestemd, gecoördineerde timing en gedeelde targetingprioriteiten gedeeld, wat suggereert dat opzettelijke samenwerking de Russische strategische cyberdoelstellingen ondersteunt,” zei Cyble.
