Smantellato il gruppo di hacker filorussi Noname057(16)

Con un’operazione internazionale senza precedenti, coordinata da Europol e Eurojust, è stato smantellato il gruppo hacker filorusso Noname057(16), responsabile, dal 2022, di ben 5.348 attacchi informatici contro istituzioni, aziende e infrastrutture dei Paesi occidentali schierati al fianco dell’Ucraina. L’azione, battezzata Eastwood, ha coinvolto le autorità giudiziarie e investigative di 19 Paesi europei, con la partecipazione straordinaria dell’FBI statunitense, confermando la portata transnazionale della minaccia e la necessità di una risposta compatta e coordinata.

Gli hacker di Noname, attivi soprattutto con attacchi DDoS (Distributed Denial of Service), avevano colpito nuovamente proprio tra lunedì e martedì scorsi, prendendo di mira l’Italia, “colpevole” di aver ospitato la recente Conferenza internazionale per la ricostruzione dell’Ucraina. Secondo la propaganda del gruppo, si sarebbe trattato di un evento volto a "sovvenzionare i terroristi". Nei loro attacchi sono finiti i portali di diverse Regioni italiane, tra cui Toscana, Piemonte ed Emilia-Romagna, ma anche siti di aziende private, tra cui l’operatore di telecomunicazioni Tiscali.

I numeri dell’operazione Eastwood parlano da soli e rendono l’idea dell’ampiezza del network criminale smantellato: 200 agenti di polizia coinvolti, 24 perquisizioni domiciliari, oltre 100 server disattivati in tutto il mondo e 10 mandati di arresto emessi, di cui 2 già eseguiti. A oltre 1.000 sostenitori della rete criminale è stato notificato un avviso formale di responsabilità penale, un passaggio senza precedenti per responsabilizzare anche chi ha partecipato indirettamente agli attacchi.

L’indagine ha permesso di ricostruire nel dettaglio il modus operandi del gruppo, che agiva senza una gerarchia definita, ma si fondava su una forte motivazione ideologica e un sistema di incentivi in criptovalute. Noname057(16) reclutava simpatizzanti attraverso il canale Telegram “DDosia Project”, diffondendo liste di obiettivi da colpire e fornendo un software per partecipare direttamente agli attacchi. Chi aderiva, oltre ad essere attratto dall’ideologia antioccidentale, riceveva in cambio premi in criptovalute, che venivano distribuiti come “pagamento” per la partecipazione alle operazioni informatiche.

L’infrastruttura criminale del gruppo era tecnicamente articolata e scalabile: un livello centrale di comando e controllo in Russia, server intermedi in grado di anonimizzare i segnali e disperdere le tracce, e infine una fitta rete di migliaia di computer messi a disposizione dagli utenti affiliati al progetto, utilizzati per generare traffico massivo e sovraccaricare i siti bersaglio.

Gli attacchi condotti avevano spesso effetti significativi sull’erogazione dei servizi pubblici, poiché miravano a paralizzare i portali digitali delle pubbliche amministrazioni, degli istituti bancari, delle aziende sanitarie, delle infrastrutture di trasporto e delle reti di telecomunicazione. Non si trattava, quindi, solo di sabotaggio simbolico, ma di vere e proprie incursioni informatiche in grado di compromettere, anche solo temporaneamente, la funzionalità di settori cruciali per il funzionamento di uno Stato moderno.

In Germania sono stati spiccati sei mandati di arresto nei confronti di cittadini russi, due dei quali indicati come veri e propri capi operativi della crew. In Italia è entrata in azione la Polizia Postale, sotto il coordinamento della Procura della Repubblica di Roma. Le indagini sono state condotte dal Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (CNAIPIC), con il supporto dei Centri Operativi Sicurezza Cibernetica (COSC) delle Regioni Piemonte, Lombardia, Veneto, Friuli Venezia Giulia, Emilia-Romagna e Calabria.

Il lavoro investigativo ha portato all’identificazione di cinque soggetti, ritenuti membri attivi della rete e direttamente coinvolti in attacchi contro infrastrutture strategiche italiane ed europee. Nei loro confronti sono stati emessi decreti di perquisizione, già eseguiti nelle scorse ore. Ma l’attività della Procura non si ferma qui: altre posizioni sono attualmente al vaglio, segno che la rete di complici e simpatizzanti sul territorio nazionale potrebbe essere più ampia del previsto.

Il caso Noname057(16) rappresenta l’ennesima conferma che la cyberwar è ormai una realtà quotidiana, una forma ibrida di conflitto in cui i confini geografici sono irrilevanti e dove un attacco lanciato da una stanza a Mosca può colpire in pochi secondi il sistema sanitario di un piccolo comune italiano. Un mondo dove il cyberspazio è il nuovo campo di battaglia e dove a fare la differenza è la capacità di fare rete tra gli Stati per proteggere i propri sistemi, le proprie istituzioni e, in ultima istanza, i propri cittadini.