Udział policjantów CBZC w globalnej operacji wymierzonej w prorosyjską sieć cyberprzestępczą NoName057(16)

Data publikacji 16.07.2025

W dniach 14 - 17 lipca przeprowadzono wspólną międzynarodową operację pod kryptonimem „Eastwood”, koordynowaną przez Europol, która wymierzona była w prorosyjską sieć cyberprzestępczą NoName057(16). Udział w operacji wzięli policjanci z Centralnego Biura Zwalczania Cyberprzestępczości a także organy ścigania z Czech, Francji, Finlandii, Niemiec, Włoch, Litwy, Hiszpanii, Szwecji, Szwajcarii, Holandii i Stanów Zjednoczonych. Służby podjęły jednoczesne działania przeciwko przestępcom i infrastrukturze należącej do prorosyjskiej sieci przestępczej. Dochodzenie było wspierane przez Eurojust i ENISA, a także Belgię, Kanadę, Estonię, Danię, Łotwę, Rumunię i Ukrainę. W operacji pomagały również prywatne strony ShadowServer i abuse.ch.

Działania te doprowadziły do zakłócenia infrastruktury ataku składającej się z ponad stu systemów komputerowych na całym świecie, podczas gdy znaczna część centralnej infrastruktury serwerowej grupy została wyłączona. Niemcy wydały sześć nakazów aresztowania przestępców mieszkających w Federacji Rosyjskiej. Dwie z tych osób są oskarżone o bycie głównymi podżegaczami odpowiedzialnymi za działalność „NoName057(16)”. W sumie władze krajowe wydały siedem nakazów aresztowania, które są skierowane między innymi przeciwko sześciu obywatelom Rosji za ich udział w działalności przestępczej NoName057(16). Wszyscy podejrzani są wymienieni jako poszukiwani na arenie międzynarodowej, a w niektórych przypadkach ich tożsamość została opublikowana w mediach. Pięć profili zostało również opublikowanych na stronie internetowej EU „Most Wanted”.

Policjanci Zarządu w Radomiu Centralnego Biura Zwalczania Cyberprzestępczości, od 2023 roku, biorą aktywny udział w pracach zespołu „Eastwood” działającego pod patronatem Europolu. Głównym celem tego zespołu jest monitorowanie działalności grupy prorosyjskich hacktywistów skupionych na kanale NoName057(16), przeprowadzających ataki DDoS na członków i sojuszników NATO. 15 lipca policjanci CBZC na terenie województwa dolnośląskiego dokonali przeszukania i zatrzymania młodego mężczyzny, którego doprowadzili do Prokuratury Okręgowej w Płocku, nadzorującej wykonywane przez funkcjonariuszy czynności. Podejrzany był aktywnym członkiem wymienionej wyżej grupy na Telegramie i brał czynny udział w atakach m. in. na strony zakładów komunikacji miejskich i oficjalnych domen organów państwowych. 18-latek usłyszał 4 zarzuty dotyczące zakłócania automatycznego przetwarzania i gromadzenia danych informatycznych i zarzut pozyskiwania oprogramowania służącego do popełniania tego typu przestępstw. Został objęty policyjnym dozorem.

Ogólne wyniki operacji Eastwood:

- 2 aresztowania (1 areszt wstępny we Francji i 1 w Hiszpanii)

- wydano 8 nakazów aresztowania (6 w Niemczech, 1 we Francji i 1 w Hiszpanii)

- 24 przeszukania domów (2 w Czechach, 1 we Francji, 3 w Niemczech, 5 we Włoszech, 12 w Hiszpanii, 1 w Polsce)

- 13 przesłuchanych osób (2 w Niemczech, 1 we Francji, 4 we Włoszech, 1 w Polsce, 5 w Hiszpanii).

- Ponad 1 000 osób wspierających, w tym 17 administratorów, zostało powiadomionych o odpowiedzialności prawnej za pośrednictwem aplikacji do przesyłania wiadomości.

- Zakłócenie działania ponad stu serwerów na całym świecie

- Znaczna część głównej infrastruktury NoName057(16) wyłączona.

NoName057(16) próby ataków DDoS na rzecz Rosji

Przestępcy związani z grupą haktywistyczną NoName057(16) atakowali głównie Ukrainę, ale z czasem skupili się na atakowaniu krajów wspierających Ukrainę w wojnie, z których wiele jest członkami sojuszu NATO. Ostatnio przeprowadzono atak podczas szczytu NATO w Holandii.

W 2023 i 2024 r. grupa brała udział w atakach na szwedzkie władze i strony internetowe banków. Od czasu rozpoczęcia dochodzeń w listopadzie 2023 r. w Niemczech miało miejsce 13 oddzielnych fal ataków wymierzonych w około 230 firm i instytucji.

W Szwajcarii przeprowadzono również wiele ataków w czerwcu 2023 r. podczas ukraińskiej wiadomości wideo skierowanej do Wspólnego Parlamentu oraz w czerwcu 2024 r. podczas Szczytu Pokoju dla Ukrainy w Bürgenstock. Niemniej jednak ataki zostały złagodzone bez znaczących zakłóceń.

Podczas ataków typu DDoS, strona internetowa lub usługa online jest zalewana ruchem w celu jej przeciążenia i uczynienia niedostępną. Oprócz działalności sieci, szacowanej na ponad 4 000 zwolenników, grupa była również w stanie zbudować własny botnet składający się z kilkuset serwerów, wykorzystywanych do zwiększenia obciążenia atakiem.

Centralna koordynacja działań wymierzonych w prorosyjskich haktywistów

Europol ułatwiał wymianę informacji i wspierał koordynację działań operacyjnych, służąc jako centrum komunikacji między organami krajowymi, agencjami UE i partnerami prywatnymi. Europol zapewnił rozszerzone operacyjne wsparcie analityczne, a także śledzenie kryptowalut i wsparcie kryminalistyczne w trakcie dochodzenia. Europol koordynował kampanię prewencyjną i uświadamiającą, skierowaną do niezidentyfikowanych jeszcze przestępców za pośrednictwem aplikacji do przesyłania wiadomości i kanałów mediów społecznościowych.

Podczas dnia akcji przeciwko podmiotom powiązanym z NoName057(16) Europol utworzył stanowisko dowodzenia w siedzibie głównej Europolu z przedstawicielami Francji, Niemiec, Hiszpanii, Holandii i Eurojustu oraz udostępnił wirtualne stanowisko dowodzenia, aby połączyć inne uczestniczące kraje z osobistym stanowiskiem dowodzenia.

Wspólna grupa zadaniowa ds. walki z cyberprzestępczością (J-CAT) w Europolu również wspierała operację. Ten stały zespół operacyjny składa się z oficerów łącznikowych ds. cyberprzestępczości z różnych krajów, którzy pracują w tym samym biurze w siedzibie głównej Europolu, zapewniając różne formy wsparcia dla głośnych dochodzeń w sprawie cyberprzestępczości.

Główne kraje uczestniczące w operacji:

- Czechy - Prezydium Policji Republiki Czeskiej, Wydział Mediów i Prasy

- Niemcy - Federalna Policja Kryminalna, Prokuratura Generalna (ZIT)

- Finlandia - Policja NBI Finlandia

- Francja - Żandarmeria Narodowa (Gendarmerie Nationale), Prokurator Generalny

- Włochy - policja krajowa (Policia di Stato)

- Litwa - policja krajowa

- Holandia - policja krajowa (Politie / Landelijk Team High Tech Crime)

- Polska – Centralne Biuro Zwalczania Cyberprzestepczości

- Szwecja - policja krajowa

- Szwajcaria - Federalny Urząd Policji (FedPol), Biuro Prokuratora Generalnego Szwajcarii

- Hiszpania - Guardia Civil, policja krajowa (Policia National)