Globale Operation gegen pro-russisches Cyberkriminelles Netzwerk NoName057(16)

Die Täter hatten es auf die Ukraine und unterstützende Länder, darunter viele EU-Mitgliedstaaten, abgesehen. 

Zwischen dem 14. und 17. Juli fand eine gemeinsame internationale Operation namens „Eastwood“ statt, die von Europol und Eurojust koordiniert wurde und gegen das Cyberkriminelle Netzwerk NoName057(16) gerichtet war. Strafverfolgungs- und Justizbehörden aus Tschechien, Frankreich, Finnland, Deutschland, Italien, Litauen, Polen, Spanien, Schweden, der Schweiz, den Niederlanden und den Vereinigten Staaten gingen gleichzeitig gegen Straftäter und die Infrastruktur des pro-russischen Cyberkriminellen Netzwerks vor. Die Ermittlungen wurden auch von ENISA sowie von Belgien, Kanada, Estland, Dänemark, Lettland, Rumänien und der Ukraine unterstützt. Die privaten Stellen ShadowServer und abuse.ch leisteten ebenfalls technische Unterstützung bei der Operation.

Die Maßnahmen führten zur Zerschlagung einer Angriffsinfrastruktur, die aus über hundert Computersystemen weltweit bestand, während ein Großteil der zentralen Serverinfrastruktur der Gruppe offline genommen wurde. Deutschland erließ sechs Haftbefehle gegen Straftäter mit Wohnsitz in der Russischen Föderation. Zwei dieser Personen werden beschuldigt, die Hauptanstifter der Aktivitäten von „NoName057(16)“ zu sein. Insgesamt haben die nationalen Behörden sieben Haftbefehle erlassen, die sich unter anderem gegen sechs russische Staatsangehörige wegen ihrer Beteiligung an den kriminellen Aktivitäten von NoName057(16) richten. Alle Verdächtigen werden international gesucht, und in einigen Fällen wurden ihre Identitäten in den Medien veröffentlicht. Fünf Profile wurden auch auf der Website „EU Most Wanted“ veröffentlicht.

Die nationalen Behörden haben mehrere hundert Personen kontaktiert, die als Unterstützer des Cyberkriminalitätsnetzwerks gelten. Die über eine beliebte Messaging-Anwendung versendeten Nachrichten informieren die Empfänger über die offiziellen Maßnahmen und weisen sie auf die strafrechtliche Verantwortung hin, die sie gemäß den nationalen Rechtsvorschriften für ihre Handlungen tragen. Bei den für NoName057(16) tätigen Personen handelt es sich hauptsächlich um russischsprachige Sympathisanten, die automatisierte Tools einsetzen, um Distributed-Denial-of-Service-Angriffe (DDoS) durchzuführen. Sie agieren ohne formelle Führung oder ausgefeilte technische Kenntnisse und werden durch Ideologie und Belohnungen motiviert.

Gesamtergebnisse der Operation Eastwood

• 2 Festnahmen (1 vorläufige Festnahme in Frankreich und 1 in Spanien)
• 7 Haftbefehle erlassen (6 von Deutschland und 1 von Spanien)
• 24 Hausdurchsuchungen (2 in Tschechien, 1 in Frankreich, 3 in Deutschland, 5 in Italien, 12 in Spanien, 1 in Polen)
• 13 Personen befragt (2 in Deutschland, 1 in Frankreich, 4 in Italien, 1 in Polen, 5 in Spanien)
• Über 1 000 Unterstützer, darunter 15 Administratoren, wurden über eine Messaging-App über ihre rechtliche Verantwortung informiert
• Über 100 Server weltweit lahmgelegt
• Ein Großteil der Hauptinfrastruktur von NoName057(16) offline genommen

NoName057(16) DDoS-Angriffe zugunsten Russlands

Die mit dem Cyberkriminellen-Netzwerk NoName057(16) in Verbindung stehenden Straftäter hatten zunächst vor allem die Ukraine im Visier, haben ihren Fokus jedoch auf Länder verlagert, die die Ukraine in der laufenden Verteidigung gegen den russischen Angriffskrieg unterstützen, darunter viele NATO-Mitglieder.

Die nationalen Behörden haben eine Reihe von Cyberangriffen gemeldet, die mit den kriminellen Aktivitäten von NoName057(16) in Verbindung stehen. In den Jahren 2023 und 2024 war das kriminelle Netzwerk an Angriffen auf schwedische Behörden und Bankwebsites beteiligt. Seit Beginn der Ermittlungen im November 2023 gab es in Deutschland 14 separate Angriffswellen, die mehr als 250 Unternehmen und Institutionen zum Ziel hatten.

In der Schweiz wurden ebenfalls mehrere Angriffe verübt, darunter im Juni 2023 während einer Videobotschaft der Ukraine an das Parlament und im Juni 2024 während des Friedensgipfels für die Ukraine in Bürgenstock. Zuletzt bestätigten die niederländischen Behörden, dass während des letzten NATO-Gipfels in den Niederlanden ein Angriff im Zusammenhang mit diesem Netzwerk verübt worden war. Alle diese Angriffe konnten ohne nennenswerte Unterbrechungen abgewehrt werden.

Zentrale Koordinierung zur Bekämpfung des pro-russischen Cyberkriminalitätsnetzwerks

Europol erleichterte den Informationsaustausch und unterstützte die Koordinierung der operativen Maßnahmen, indem es als Drehscheibe für die Kommunikation zwischen den nationalen Behörden und den EU-Agenturen fungierte. Zu diesem Zweck organisierte Europol über 30 Online- und Offline-Sitzungen sowie zwei operative Sprint-Meetings. Europol erleichterte auch die Zusammenarbeit mit privaten Partnern, die sowohl vor als auch nach der Operation ihre Unterstützung angeboten hatten. Die Agentur leistete im Laufe der Ermittlungen umfangreiche analytische Unterstützung sowie Hilfe bei der Rückverfolgung von Kryptowährungen und forensisches Fachwissen. Europol koordinierte die Präventionskampagne, die über Messaging-Apps und soziale Medienkanäle an mutmaßliche Mitglieder verbreitet wurde.

Während des Aktionstages gegen die Mitglieder von NoName057(16) richtete Europol in seiner Zentrale ein Koordinierungszentrum mit Vertretern aus Frankreich, Deutschland, Spanien, den Niederlanden und Eurojust ein und stellte einen virtuellen Kommandoposten zur Verfügung, um die anderen teilnehmenden Länder mit dem Koordinierungszentrum zu verbinden.

Die Gemeinsame Taskforce zur Bekämpfung der Cyberkriminalität (J-CAT) bei Europol unterstützte die Operation ebenfalls. Dieses operative Team besteht aus Cyber-Verbindungsbeamten aus verschiedenen Ländern, die vom selben Büro in der Europol-Zentrale aus arbeiten und verschiedene Formen der Unterstützung bei hochkarätigen Ermittlungen im Bereich der Cyberkriminalität leisten.

Über Eurojust konnten die Behörden die justiziellen Maßnahmen koordinieren und ihre jeweiligen Maßnahmen während des Aktionstages planen. Die Agentur stellte die Durchführung der Rechtshilfeersuchen und mehrerer europäischer Ermittlungsanordnungen sicher. Während des Aktionstages am 15. Juli koordinierte Eurojust alle in letzter Minute während der Operation erforderlichen justiziellen Ersuchen.

Gamifizierte Manipulation zur Motivierung pro-russischer Cyberangriffe

Ermittlungen nationaler Behörden identifizierten NoName057(16) als ideologisches kriminelles Netzwerk, das sich offen zur Russischen Föderation bekennt und im Zusammenhang mit dem russischen Angriffskrieg gegen die Ukraine mit zahlreichen DDoS-Cyberangriffen in Verbindung gebracht wird. Bei solchen Angriffen wird eine Website oder ein Online-Dienst mit Datenverkehr überflutet, um ihn zu überlasten und damit unzugänglich zu machen. Zusätzlich zu den Aktivitäten des Netzwerks, das auf über 4 000 Unterstützer geschätzt wird, konnte die Gruppe auch ein eigenes Botnetz aus mehreren hundert Servern aufbauen, das zur Erhöhung der Angriffslast genutzt wurde.

Um Aufrufe zum Handeln, Anleitungen und aktuelle Informationen zu verbreiten und Freiwillige zu rekrutieren, nutzte die Gruppe pro-russische Kanäle, Foren und sogar Nischen-Chatgruppen in sozialen Medien und Messaging-Apps. Die Freiwilligen luden häufig Freunde oder Kontakte aus Gaming- oder Hacking-Foren ein und bildeten so kleine Rekrutierungskreise. Diese Akteure nutzten Plattformen wie DDoSia, um technische Prozesse zu vereinfachen und Richtlinien bereitzustellen, sodass neue Rekruten schnell einsatzfähig waren.

Die Teilnehmer wurden außerdem in Kryptowährung bezahlt, was einen Anreiz für ein dauerhaftes Engagement bot und Opportunisten anzog. Durch die Nachahmung spielerischer Dynamiken, regelmäßige Shout-outs, Ranglisten oder Abzeichen erhielten die Freiwilligen ein Gefühl von Status. Diese spielerische Manipulation, die oft auf jüngere Straftäter abzielte, wurde emotional durch eine Erzählung von der Verteidigung Russlands oder der Rache für politische Ereignisse verstärkt.

Participating countries

Core countries

• Czechia – Czech Republic: National Counter-Terrorism, Extremism and Cybercrime Agency
• Finland – National Bureau of Investigation (NBI)
• France – National Cyber Unit of the Gendarmerie Nationale, Paris Public Prosecutor’s Office – National Jurisdiction against Organised Crime (JUNALCO)
• Germany – Federal Criminal Police Office (Bundeskriminalamt), Prosecutor General’s Office Frankfurt am Main – Cyber Crime Center
• Italy – National Police (Polizia di Stato)
• Lithuania – National Police
• Netherlands – National Police (Politie), Public Prosecutor’s Office
• Poland – Central Cybercrime Bureau
• Spain – Guardia Civil, National Police (Policía Nacional)
• Sweden – Polisen
• Switzerland – Federal Office of Police fedpol and Office of the Attorney General of Switzerland (OAG)
• USA – Federal Bureau of Investigation

---