Europol、ウクライナへのDDoS攻撃に関与したNoName057(16)ハクティビストグループを摘発

Europolが調整した国際的な作戦により、ウクライナおよびその同盟国に対する一連の分散型サービス拒否（DDoS）攻撃に関与していたとされる親ロシア派ハクティビストグループ「NoName057(16)」のインフラが摘発されました。

この措置により、グループの中枢サーバーインフラの大部分と、世界中の100以上のシステムが解体されました。この共同作戦では、フランスとスペインで2名が逮捕され、スペイン、イタリア、ドイツ、チェコ、フランス、ポーランドで24軒の家宅捜索が行われ、さらに6名のロシア国籍者に対して逮捕状が発行されました。

「オペレーション・イーストウッド」と名付けられたこの取り組みは、7月14日から17日にかけて実施され、チェコ、フランス、フィンランド、ドイツ、イタリア、リトアニア、ポーランド、スペイン、スウェーデン、スイス、オランダ、アメリカの当局が参加しました。調査はまた、ベルギー、カナダ、エストニア、デンマーク、ラトビア、ルーマニア、ウクライナの支援も受けました。

NoName057(16)は2022年3月から活動しており、親クレムリン派の集団として、イデオロギー的動機を持つ支持者をTelegramで動員し、DDoS攻撃専用プログラムDDoSiaを使ってウェブサイトへの攻撃を行わせ、その見返りとして暗号通貨による報酬を与えてインセンティブを維持していました。このグループはロシアのウクライナ侵攻直後に登場しました。

ロシア出身の5名が、NoName57(16)を支援した疑いでE.U. Most Wantedリストに追加されています。

• Andrey Muravyov（別名 DaZBastaDraw）
• Maxim Nikolaevich Lupin（別名 s3rmax）
• Olga Evstratova（別名 olechochek, olenka）
• Mihail Evgeyevich Burlakov（別名 Ddosator3000, darkklogo）
• Andrej Stanislavovich Avrosimow（別名 ponyaska）

「BURLAKOVは、グループ『NoName057(16)』の中心的メンバーであり、ドイツおよび他国のさまざまな機関に対するDDoS攻撃の実行に大きく貢献した疑いが持たれています」と、Most Wanted逃亡者サイトに掲載された説明文は述べています。

「特に、彼は『darkklogo』という偽名でグループ内の指導的役割を担い、標的の戦略的特定や攻撃用ソフトウェアの開発・最適化、違法サーバーのレンタルに関する支払いの実行などの決定を行った疑いがあります。」

Evstratovaもグループの中核メンバーと考えられており、DDoSia攻撃ソフトウェアの最適化に責任を持っていたとされています。Avrosimowは83件のコンピュータ破壊行為に関与したとされています。

Europolによると、当局はサイバー犯罪ネットワークの支持者とみられる1,000人以上に連絡を取り、自動化ツールを使ったDDoS攻撃の実行に関する刑事責任を通知しました。

「ネットワークの活動には4,000人を超える支持者がいると推定されるほか、グループは攻撃負荷を増やすために数百台のサーバーからなる独自のボットネットも構築していました」とEuropolは述べています。

「ゲームのようなダイナミクスを模倣し、定期的な称賛、リーダーボード、バッジなどがボランティアにステータス感を与えていました。このゲーミフィケーションによる操作は、しばしば若年層の加害者を対象とし、『ロシアを守る』『政治的出来事の復讐』という物語で感情的に強化されていました。」

近年、スウェーデン当局や銀行のウェブサイト、さらに2023年11月以降ドイツの250の企業・機関に対して、脅威アクターによる一連の攻撃が14回にわたり観測されています。

昨年7月、スペインのラ・グアルディア・シビルは、スペインおよび他のNATO諸国の公共機関や戦略的部門に対する「サービス拒否型サイバー攻撃」に関与した疑いで、グループのメンバー3名を逮捕しました。

この動きは、Z-Pentest、Dark Engine、Sector 16といったロシアのハクティビストグループが、DDoS攻撃やウェブサイトの改ざんといったイデオロギー的動機によるサイバー攻撃の枠を超え、重要インフラを標的にする傾向を強めている中で起きています。

「これらのグループは、メッセージの統一、タイミングの調整、標的の優先順位の共有などを行っており、ロシアの戦略的サイバー目標を支援するための意図的な協力が示唆されます」とCybleは述べています。