Výsledkem operace bylo narušení útočné infrastruktury tvořené více než stovkou počítačových systémů po celém světě a odpojení podstatné části centrální serverové infrastruktury skupiny. Orgány činné v trestním řízení a justiční orgány z České republiky, Francie, Finska, Německa, Itálie, Litvy, Polska, Španělska, Švédska, Švýcarska, Nizozemska a USA podnikly společný zásah proti členům a infrastruktuře této proruské sítě. Vyšetřování podpořily také ENISA, Belgie, Kanada, Estonsko, Dánsko, Lotyšsko, Rumunsko a Ukrajina. Technickou část operace podpořily i soukromé subjekty ShadowServer a abuse.ch.

Od zahájení vyšetřování v roce 2022 zaznamenala Česká republika celkem 230 napadených subjektů a přibližně 850 úspěšných útoků, spáchaných ve 24 vlnách, vedoucích k dočasnému vyřazení webových stránek napadeného subjektu. Útoky byly přitom směřovány primárně na orgány státní správy a samosprávy a další orgány veřejné moci, na subjekty základní letecké, železniční a silniční dopravní infrastruktury státu, na významné poskytovatele bankovních a telekomunikačních služeb, veřejná média a obchodní společnosti z oblasti strojírenství a těžkého průmyslu. Většina z těchto útoků je připisována uskupení NoName057(16), ke zbývající části se pak přihlásila uskupení Killnet a Anonymous Russia.

Německo vydalo šest zatykačů na osoby žijící v Ruské federaci. Dvě z těchto osob jsou označeny jako hlavní strůjci aktivit NoName057(16). Celkově bylo vydáno sedm zatykačů, mimo jiné na šest ruských občanů, kteří jsou podezřelí z účasti na trestné činnosti této skupiny. Všichni jsou vedeni jako mezinárodně hledané osoby a v některých případech byla jejich totožnost zveřejněna v médiích. Pět profilů bylo zveřejněno na webu EU Most Wanted (ZDE).

Orgány činné v trestním řízení z participujících zemí kontaktovaly více než tisíc osob, o nichž se domnívají, že podporovaly tuto zločineckou síť. Zprávy rozeslané prostřednictvím populární komunikační aplikace je informovaly o oficiálních opatřeních a upozornily na trestní odpovědnost, kterou za své činy podle zákonů platných v daných zemích nesou. Osoby jednající jménem NoName057(16) jsou převážně rusky hovořící sympatizanti, kteří používají software skupiny s názvem “DDoSia” k provádění DDoS útoků (distribuované útoky odepřením služby). Skupina operuje bez formálního vedení či technické vyspělosti, motivována je ideologií a odměnami.

Celkové výsledky operace Eastwood:

• 2 zatčení (1 předběžné ve Francii, 1 ve Španělsku)
• 7 vydaných zatykačů (6 z Německa, 1 ze Španělska)
• 24 domovních prohlídek (2 v ČR, 1 ve Francii, 3 v Německu, 5 v Itálii, 12 ve Španělsku, 1 v Polsku)
• 13 vyslechnutých osob (2 v Německu, 1 ve Francii, 4 v Itálii, 1 v Polsku, 5 ve Španělsku)
• Přes 1 000 kontaktovaných podporovatelů (včetně 15 administrátorů), kteří byli upozorněni na právní odpovědnost
• Odstavení více než 100 serverů po celém světě
• Odpojena podstatná část hlavní infrastruktury skupiny NoName057(16)

Útoky NoName057(16) na podporu Ruska

Pachatelé spjatí s NoName057(16) se zaměřovali primárně na Ukrajinu, ale postupně přesměrovali své útoky na země podporující Ukrajinu v obraně proti ruské agresi, přičemž mnoho z nich je členy NATO.

Národní úřady nahlásily několik kybernetických útoků souvisejících s činností této skupiny. V letech 2023 a 2024 se skupina účastnila útoků na švédské úřady a weby bank. Od zahájení vyšetřování v listopadu 2023 zaznamenalo Německo 14 vln útoků zaměřených na více než 250 společností a institucí.

Ve Švýcarsku došlo k několika útokům v červnu 2023 (během videoposelství Ukrajiny parlamentu) a v červnu 2024 (během Mírového summitu na Bürgenstocku). Nedávno také nizozemské úřady potvrdily útok během posledního summitu NATO v Nizozemsku. Všechny útoky byly zmírněny bez vážných následků.

Koordinace proti proruské zločinecké síti

Europol koordinoval výměnu informací a operativní aktivity jako komunikační centrum mezi národními úřady a agenturami EU. Zorganizoval více než 30 setkání online i osobně, Europol zprostředkoval také spolupráci se soukromými partnery a poskytl analytickou podporu, trasování kryptoměn a forenzní expertizu. Vedená byla i preventivní kampaň, jejíž zprávy byly šířeny přes sociální sítě a komunikační aplikace. V den akce vytvořil Europol koordinační centrum v sídle agentury, kterého se zúčastnili zástupci Francie, Německa, Španělska, Nizozemska a Eurojustu.

Společný tým J-CAT (Joint Cybercrime Action Taskforce - ZDE) podporoval operaci. Tento tým tvoří styční důstojníci z různých zemí, kteří pracují společně v sídle Europolu.

Díky Eurojustu mohly být koordinovány soudní aktivity a zajištěno provedení právní pomoci a Evropských vyšetřovacích příkazů. V den akce 15. července Eurojust koordinoval i naléhavé justiční požadavky.

Gamifikovaná manipulace pro motivaci k proruským kyberútokům

Vyšetřování zjistilo, že NoName057(16) je ideologicky motivovaná zločinecká síť, která podporuje Ruskou federaci a byla zapojena do řady DDoS útoků v rámci války proti Ukrajině. Tyto útoky spočívají v zahlcení cílového webu či služby nadměrným provozem, čímž se stávají nedostupné. Skupina, kterou podporuje přes 4 000 osob, si vytvořila vlastní botnet ze stovek serverů pro zvýšení výkonu útoků.

K náboru dobrovolníků, sdílení návodů a aktualit využívala proruské kanály, fóra a specializované chatovací skupiny. Dobrovolníci často zvali přátele z herních nebo hackerských fór. Platforma DDoSia jim poskytla jednoduché nástroje a instrukce pro rychlé zapojení.

Účastníci byli odměňováni kryptoměnami, což motivovalo k delší aktivitě a lákalo i oportunisty. Prvky jako žebříčky, odznaky nebo shout-outy jim poskytovaly status a pocit ocenění. Tento gamifikovaný přístup byl často zaměřen na mladší účastníky a podpořen narativem o obraně Ruska nebo pomstě za politické události.

Hlavní účastníci:

• Česká republika – Národní centrála proti terorismu, extremismu a kybernetické kriminalitě (NCTEKK)
• Finsko – National Bureau of Investigation (NBI)
• Francie – National Cyber Unit of the Gendarmerie Nationale, Paris Public Prosecutor’s Office – National Jurisdiction against Organised Crime (JUNALCO)
• Německo – Federal Criminal Police Office (Bundeskriminalamt), Prosecutor General's Office Frankfurt am Main – Cyber Crime Center
• Itálie – National Police (Polizia di Stato)
• Litva – Lithuanian Criminal Police Bureau
• Nizozemsko – National Police (Politie), Public Prosecutor’s Office
• Polsko – Central Cybercrime Bureau
• Španělsko – Guardia Civil, National Police (Policia National)
• Švédsko – Polisen
• Švýcarsko – Federal Office of Police fedpol and Office of the Attorney General of Switzerland (OAG)
• USA – Federal Bureau of Investigation

Podporující země:

• Belgie
• Kanada
• Dánsko
• Estonsko
• Lotyšsko
• Rumunsko
• Ukrajina

Zúčastněné agentury EU:

• Europol
• Eurojust
• ENISA

(převzato z tiskové zprávy Europolu ZDE)

Psali jsme:

Policie ČR: Spolupráce s operátory pomáhá dopadnout zločince

Policie ČR: Společné hlídky v Chorvatsku a Bulharsku

Policie ČR: Taktické cvičení Ochranné služby v budově Poslanecké sněmovny

Policie ČR: Ovlivňování správních řízení - obvinění 7 osob