Europol & Co. zerschlagen russisches Cyberkriminellen Netzwerk NoName057(16)

[English]Strafverfolger haben mit Hilfe von Europol und weiteren Institutionen das Netzwerk der russischen NoName057(16)-Cybergruppe zerschlagen. Die Täter hatten es auf IT-Infrastruktur der Ukraine und unterstützende Länder, darunter viele EU-Mitgliedstaaten, abgesehen.

Operation Eastwood gegen NoName057(16)

Die internationale Operation mit dem Namen Eastwood, die von Europol und Eurojust koordiniert wurde, fand zwischen dem 14. und 17. Juli 2025 statt. Sie richtete sich gegen das Cybercrime-Netzwerk NoName057(16).

Beteiligt waren Strafverfolgungs- und Justizbehörden aus Deutschland, Frankreich, Finnland, Italien, Litauen, Polen, Schweden, der Schweiz, den Niederlanden, Spanien, der Tschechischen Republik und den Vereinigten Staaten. Bei der Operation gingen die Institutionen gleichzeitig gegen die Täter und die Infrastruktur des pro-russischen Cybercrime-Netzwerks vor.

Die Ermittlungen und die Operation wurden auch von der ENISA sowie von Belgien, Kanada, Estland, Dänemark, Lettland, Rumänien und der Ukraine unterstützt. Die privaten Parteien ShadowServer und abuse.ch unterstützten beim technischen Teil der Operation.

Länder der Operation Eastwood

Die Aktionen der Operation Eastwood führten zur Unterbrechung einer Angriffsinfrastruktur, die aus über hundert Computersystemen weltweit bestand. Ein großer Teil der zentralen Serverinfrastruktur der Gruppe wurde dabei vom Netz genommen.

In Deutschland wurden sechs Haftbefehle gegen in der Russischen Föderation lebende Straftäter erlassen. Zwei dieser Personen werden beschuldigt, die Hauptverantwortlichen für die Aktivitäten von „NoName057(16)" zu sein.

Insgesamt haben die nationalen Behörden sieben Haftbefehle erlassen, die sich unter anderem gegen sechs russische Staatsangehörige wegen ihrer Beteiligung an den kriminellen Aktivitäten von NoName057(16) richten. Alle Verdächtigen werden international gesucht, und in einigen Fällen wurden ihre Identitäten in den Medien veröffentlicht. Fünf Profile wurden auch auf der EU Most Wanted-Website veröffentlicht.

Die nationalen Behörden haben sich, laut Europol, an mehrere hundert Personen gewandt, bei denen es sich vermutlich um Unterstützer des Cybercrime-Netzwerks handelt. In den Nachrichten, die über eine beliebte Messaging-Anwendung verbreitet werden, werden die Empfänger über die behördlichen Maßnahmen informiert und auf die strafrechtliche Verantwortung hingewiesen, die sie für ihre Handlungen gemäß den nationalen Rechtsvorschriften tragen.

Bei den für NoName057(16) handelnden Personen handelt es sich hauptsächlich um russischsprachige Sympathisanten, die automatisierte Tools zur Durchführung von DDoS-Angriffen (Distributed Denial of Service) verwenden. Sie agieren ohne formale Führung oder ausgefeilte technische Fähigkeiten und sind durch Ideologie und Belohnungen motiviert.

Gesamtergebnisse der Operation Eastwood

• 2 Festnahmen (1 vorläufige Festnahme in Frankreich und 1 in Spanien)
• 7 Haftbefehle ausgestellt (6 in Deutschland und 1 in Spanien)
• 24 Hausdurchsuchungen (2 in Tschechien, 1 in Frankreich, 3 in Deutschland, 5 in Italien, 12 in Spanien, 1 in Polen)
• 13 Personen wurden verhört (2 in Deutschland, 1 in Frankreich, 4 in Italien, 1 in Polen, 5 in Spanien)
• Über 1 000 Unterstützer, darunter 15 Administratoren, wurden über eine Messaging-App über ihre rechtliche Verantwortung informiert

Über 100 Server weltweit wurden gestört und ein großer Teil der Hauptinfrastruktur von NoName057(16) offline genommen.

DDoS-Störungsversuche zu Gunsten Russlands

Die Täter, die mit dem NoName057(16)-Cybercrime-Netzwerk in Verbindung stehen, zielten in erster Linie mit ihren Cyberangriffen auf die Ukraine ab. Später haben sie aber ihren Schwerpunkt auf Angriffe auf Länder verlagert, die die Ukraine bei der laufenden Verteidigung gegen den russischen Angriffskrieg unterstützen und von denen viele NATO-Mitglieder sind.

Die nationalen Behörden dieser Länder haben eine Reihe von Cyberangriffen gemeldet, die mit den kriminellen Aktivitäten von NoName057(16) in Verbindung stehen. In den Jahren 2023 und 2024 war das kriminelle Netzwerk an Angriffen auf schwedische Behörden und Bank-Websites beteiligt. Seit Beginn der Ermittlungen im November 2023 gab es in Deutschland 14 verschiedene Angriffswellen, die sich gegen mehr als 250 Unternehmen und Institutionen richteten.

In der Schweiz wurden im Juni 2023 während einer ukrainischen Videobotschaft an das gemeinsame Parlament und im Juni 2024 während des Friedensgipfels für die Ukraine auf dem Bürgenstock ebenfalls mehrere Angriffe verübt. Kürzlich bestätigten die niederländischen Behörden, dass während des letzten NATO-Gipfels in den Niederlanden ein mit diesem Netz verbundener Angriff verübt wurde. Alle diese Angriffe konnten ohne nennenswerte Unterbrechungen abgewehrt werden.

Die Ermittlungen der nationalen Behörden ergaben, dass es sich bei NoName057(16) um ein ideologisches kriminelles Netzwerk handelt. Dieses bekannt sich zur Unterstützung der Russischen Föderation. Die Gruppe wird im Zusammenhang mit dem russischen Angriffskrieg gegen die Ukraine mit zahlreichen DDoS-Cyberattacken in Verbindung gebracht. Bei solchen Angriffen wird eine Website oder ein Online-Dienst mit Datenverkehr überflutet, mit dem Ziel, sie zu überlasten und unzugänglich zu machen.

Neben den Aktivitäten des Netzwerks, das auf über 4 000 Unterstützer geschätzt wird, konnte die Gruppe auch ein eigenes Botnetz aus mehreren hundert Servern aufbauen, um die Angriffslast zu erhöhen.

Um Handlungsaufrufe, Anleitungen und Updates zu verbreiten und um Freiwillige zu rekrutieren, nutzte die Gruppe pro-russische Kanäle, Foren und sogar Nischen-Chatgruppen in sozialen Medien und Messaging-Apps. Freiwillige luden oft Freunde oder Kontakte aus Spiele- oder Hackerforen ein und bildeten kleine Rekrutierungskreise. Diese Akteure nutzten Plattformen wie DDoSia, um technische Prozesse zu vereinfachen und Richtlinien bereitzustellen, damit neue "Rekruten" schnell einsatzbereit waren.