Un’operazione internazionale di ampia portata, coordinata da Europol ed Eurojust, ha inferto un duro colpo alla rete di criminalità informatica filo-russa nota come NoName057(16). L’azione congiunta, denominata Operazione Eastwood, si è svolta tra il 14 e il 17 luglio e ha coinvolto forze dell’ordine e autorità giudiziarie di 13 Paesi, tra cui Italia, Germania, Stati Uniti, Francia e Spagna.
L’indagine ha portato all’interruzione di un’infrastruttura informatica criminale composta da oltre 100 sistemi dislocati a livello globale, con l’oscuramento di gran parte dei server centrali del gruppo. In totale sono stati emessi sette mandati di arresto internazionali, sei dei quali nei confronti di cittadini russi, due dei quali considerati i vertici del gruppo. La Germania ha guidato l’attività giudiziaria, emettendo sei mandati di cattura per soggetti residenti nella Federazione Russa. Alcuni dei profili sono stati inseriti nella lista europea dei “Most Wanted”.
L’inchiesta è stata condotta con il supporto tecnico anche di ENISA, delle società private ShadowServer e abuse.ch, e con la collaborazione di ulteriori Paesi tra cui Canada, Estonia, Lettonia, Romania e Ucraina.
Il ruolo dell’Italia
In Italia, l’Operazione Eastwood è stata condotta dalla Polizia Postale sotto il coordinamento della Direzione Nazionale Antimafia e Antiterrorismo e della Procura della Repubblica di Roma. Le attività investigative hanno coinvolto i Centri Operativi del CNAIPIC e delle Polizie Postali regionali di Piemonte, Lombardia, Veneto, Friuli Venezia Giulia, Emilia-Romagna e Calabria. Sono stati identificati cinque soggetti ritenuti affiliati al gruppo, ai quali sono stati notificati decreti di perquisizione. Ulteriori posizioni sono attualmente al vaglio degli inquirenti.
Un network decentralizzato e ideologico
Il gruppo NoName057(16), attivo dal marzo 2022, ha realizzato migliaia di attacchi DDoS (Distributed Denial of Service) contro siti governativi, istituzioni finanziarie, infrastrutture di trasporto, sanità e telecomunicazioni in diversi Paesi europei. La rete era organizzata in maniera decentralizzata, senza una leadership formale, ma con un centro di comando e controllo basato in Russia.
Attraverso il canale Telegram “DDosia Project”, il gruppo reclutava simpatizzanti – spesso privi di competenze tecniche – fornendo strumenti automatizzati per eseguire attacchi e ricompensandoli in criptovalute. L’infrastruttura operava su tre livelli: un centro di comando russo, server intermedi per l’anonimizzazione e migliaia di computer “zombie” messi a disposizione dagli affiliati.
Più di 600 server in vari Paesi sono stati disattivati e in parte sottoposti a sequestro, in quanto server costituenti l’infrastruttura criminale da cui partivano gli attacchi.
Coordinamento centrale per contrastare la rete di criminalità
Nel corso dell’Operazione Eastwood, che ha colpito duramente la rete di criminalità informatica filo-russa NoName057(16), Europol ha svolto un ruolo chiave nel coordinamento centrale delle attività. Attraverso la sua Joint Cybercrime Action Taskforce (J-CAT) – composta da esperti cyber di diversi Paesi – l’Agenzia ha facilitato lo scambio di informazioni tra le autorità nazionali e le agenzie UE, sostenendo le indagini con analisi forensi, tracciamento di criptovalute e supporto operativo.
Durante la giornata d’azione, il 15 luglio, è stato istituito presso la sede di Europol un centro di coordinamento con rappresentanti di Francia, Germania, Spagna, Paesi Bassi ed Eurojust, collegato virtualmente agli altri Paesi coinvolti. Europol ha inoltre organizzato oltre 30 incontri operativi e due “sprint” investigativi, coordinando anche una campagna di prevenzione indirizzata ai presunti affiliati del gruppo tramite messaggi e social.
Eurojust ha garantito il coordinamento giudiziario internazionale, gestendo assistenze legali e ordini di indagine europei, compresi gli interventi urgenti durante le fasi cruciali dell’operazione.
