Un’indagine internazionale ha colpito un gruppo di hacker russi, noto come Noname057, responsabile di numerosi attacchi informatici che dal 2022 hanno preso di mira siti istituzionali, infrastrutture pubbliche, banche e servizi essenziali in diversi Paesi europei, inclusa l’Italia. L’operazione, denominata Eastwood, ha coinvolto forze dell’ordine di vari Stati coordinati da Eurojust ed Europol.
Le dimensioni del gruppo hacker noname057 e le loro azioni
Noname057 si è distinta per un’intensa attività di cyberattacchi contro obiettivi sensibili come enti governativi, reti di trasporto pubblico, sistemi sanitari e operatori di telecomunicazioni. Dal 2022, la crew ha compiuto migliaia di attacchi di tipo Ddos, che consistono nell’imbottigliare i server vittime con un volume enorme di richieste, causando blocchi temporanei e interruzioni nei servizi. Il gruppo ha operato su scala europea, includendo l’Italia tra i principali bersagli.
La struttura di Noname è complessa e prevede un comando centrale basato in Russia, che dirigeva le operazioni. A questo livello si aggiungono server intermedi usati per nascondere la provenienza degli attacchi e migliaia di computer messi a disposizione da simpatizzanti che partecipavano volontariamente o dietro compenso in criptovalute. La rete di supporto ha permesso di diffondere software dannosi e elenchi di obiettivi, agevolando la coordinazione degli attacchi.
L’operazione eastwood e la collaborazione internazionale
L’operazione Eastwood, guidata dalla procura di Roma e realizzata con la Polizia postale italiana, ha agito in parallelo con analoghe retate in Germania, Stati Uniti, Olanda, Svizzera, Svezia, Francia e Spagna. È stata fondamentale la cooperazione con Eurojust e Europol per tracciare le identità dietro ai server remoti, agli account Telegram anonimi usati per rivendicare gli attacchi e ai flussi di pagamenti tramite criptovalute.
Cinque ordinanze di arresto internazionali sono state emesse a carico di cittadini russi indagati per appartenenza alla rete. Due di questi risultano essere i vertici operativi dell’organizzazione. Oltre alle misure cautelari personali, sono stati disattivati e sequestrati più di 600 server distribuiti in vari Paesi, riducendo in modo significativo la capacità operativa della crew.
Il ruolo della polizia postale italiana e le indagini sul territorio nazionale
In Italia, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche ha coordinato le operazioni con il supporto dei Centri operativi della Polizia postale di Piemonte, Lombardia, Veneto, Friuli Venezia Giulia, Emilia-Romagna e Calabria. L’attività investigativa ha permesso di identificare cinque sospetti che avevano partecipato ad attacchi mirati contro infrastrutture nazionali ed europee.
Nei confronti di queste persone la procura della Repubblica di Roma ha disposto decreti di perquisizione e stanno ancora esaminando possibili ulteriori coinvolgimenti. Le autorità sottolineano l’importanza dell’azione congiunta per bloccare queste minacce che mettono a rischio la sicurezza e l’operatività di servizi pubblici fondamentali a livello nazionale.
Modalità operative del gruppo e impatto degli attacchi
Noname057 ha usato canali di comunicazione criptati come Telegram per gestire la rete di aderenti e diffondere indicazioni sugli obiettivi. Il canale denominato Ddosia Project, in particolare, forniva strumenti digitali per facilitare gli attacchi Ddos, rendendo accessibile la partecipazione a una sorta di “crew” di hacker e simpatizzanti.
Il motore degli attacchi era la sovrabbondanza di richieste simultanee dirette ai server delle vittime, portandole a un sovraccarico funzionale. Le conseguenze si traducevano in interruzioni nei servizi pubblici, problemi di accesso ai siti governativi e rallentamenti nei sistemi bancari e di trasporto. Le somme percepite dal gruppo arrivavano in criptovalute, modalità scelta per garantire l’anonimato nelle transazioni.
Azioni come questa evidenziano la sfida che i sistemi informatici di tutela pubblica devono affrontare ogni giorno. Le indagini proseguono con l’intento di sgominare completamente la rete e prevenire nuovi attacchi simili, tutelando così infrastrutture vitali e l’ordine pubblico.
