OPACT - La guerra silenziosa degli hacker russiCome Europol (e la Polizia Postale italiana) hanno smantellato NoName057(16)

La guerra silenziosa degli hacker russiCome Europol (e la Polizia Postale italiana) hanno smantellato NoName057(16)

Dettagli: Categoria: Italia

L’operazione Eastwood ha coinvolto undici Paesi europei e gli Stati Uniti in un’azione coordinata contro una rete responsabile di migliaia di attacchi a infrastrutture digitali europee

Massimiliano Coccia, 18.7.2025 linkiesta.it lettura4’

C’è una guerra che non fa rumore. Non ha trincee, né proiettili, ma lascia dietro di sé il sapore acre della destabilizzazione, il buio improvviso nei server ministeriali, la sensazione che qualcosa anche nella vita quotidiana possa improvvisamente incepparsi. È la guerra ibrida, quella dei bit, delle botnet e delle campagne orchestrate da tastiere invisibili.

Nel cuore di questa guerra digitale, NoName057(16) era il battaglione cyber più attivo e aggressivo al servizio dell’agenda imperiale russa. Un gruppo nato all’indomani dell’invasione dell’Ucraina, nel marzo 2022, e cresciuto come una metastasi nei circuiti del web sotterraneo. In due anni ha sferrato oltre cinquemila attacchi DDoS contro infrastrutture digitali in tutta Europa. L’obiettivo? Punire, sabotare e umiliare i Paesi che hanno osato sostenere Kyjiv.

Il diciassette luglio 2025, con un’operazione di coordinamento senza precedenti, Europol ed Eurojust, insieme a undici Paesi europei e agli Stati Uniti, hanno lanciato il contrattacco: Operazione Eastwood, un nome che evoca un’idea di giustizia secca e silenziosa, da western contemporaneo. Un nome che, in realtà, racchiude il lavoro di intelligence, analisi e pazienza certosina che per mesi ha impegnato le unità specializzate nella cyberdifesa.

Tra queste, la Polizia postale italiana ha avuto un ruolo centrale. In silenzio ma con metodo, ha analizzato oltre seicento server sospetti sul territorio nazionale, individuato la catena logistica degli attacchi e condiviso flussi cruciali di dati con le controparti europee.

È stata una collaborazione che richiama, per importanza e discrezione, quella che portò anni fa allo smantellamento della rete criminale dietro “Darknet Silk Road”, o più indietro ancora, alle operazioni che colpirono Anonymous Italia nel decennio scorso. Solo che stavolta in gioco non c’era la libertà digitale, ma la stabilità democratica.

Le mani sulla Rete

NoName057(16) era più di una sigla. Era una macchina da guerra digitale. Il gruppo si avvaleva di un software sviluppato ad hoc, DDoSia, diffuso su GitHub, con cui chiunque — anche un utente poco esperto — poteva lanciare attacchi informatici coordinati. L’illusione della partecipazione attiva, il senso di appartenenza a un esercito virtuale in difesa della Madre Russia. Per molti adolescenti russi o filorussi in Europa, quella tastiera era il Kalashnikov della generazione digitale.

In realtà, dietro il fronte apparente dell’attivismo cyber si nascondeva una struttura ibrida, semi-centralizzata, che dalla Russia distribuiva target e calendari d’attacco, orchestrando ondate sincronizzate con eventi simbolici: l’intervento di Volodymyr Zelensky al Parlamento svizzero, le elezioni spagnole, persino l’Eurovision di Basilea. Ogni occasione era buona per colpire l’immagine di un’Europa libera e solidale con l’Ucraina.

L’Italia non è stata risparmiata. I bersagli sono stati molteplici: siti istituzionali regionali, infrastrutture di trasporto, portali governativi. In un caso emblematico, la homepage della Farnesina è rimasta irraggiungibile per ore. La Postale, in quei momenti, ha giocato una partita decisiva dietro le quinte, tracciando connessioni, isolando pacchetti malevoli e contribuendo a un’identificazione sempre più chiara dei nodi della rete.

Gli arresti (senza volti)

L’Operazione Eastwood ha portato a due arresti immediati (in Francia e in Spagna), sette mandati di cattura internazionali e sei mandati emessi dalla Germania contro altrettanti cittadini russi (i cui nomi ad oggi restano coperti da riservatezza istruttoria). Nessuno dei leader del gruppo è stato ancora estradato, ma i server centrali — distribuiti tra Europa dell’Est, Sud America e Paesi baltici — sono stati smantellati o sequestrati.

Come nelle migliori operazioni di polizia internazionale, la chiave è stata la lentezza strategica. Tracciare ogni indirizzo IP, risalire a centinaia di account Telegram, seguire il flusso delle criptovalute usate per incentivare gli attacchi: tutte tecniche di investigazione ormai classiche nel repertorio delle unità cyber, eppure ancora oggi fondamentali.

In questo, la vicenda NoName057(16) riprende alcuni nodi che abbiamo già toccato nelle nostre precedenti inchieste su Linkiesta, dalle reti della propaganda digitale finanziate con criptovalute alle campagne di influenza mediatica di Teheran e Mosca. L’infrastruttura non è mai solo tecnica: è politica, ideologica, economica.

L’illusione dell’impunità

Uno degli aspetti più inquietanti emersi da Eastwood è il numero dei volontari. Secondo Europol, almeno quattromila soggetti in Europa e in Russia avrebbero partecipato attivamente alle offensive, mossi da ideologia, adrenalina o ricompense in criptovalute. Alcuni sono adolescenti, altri sono ex militari o informatici freelance. Tutti pensavano fino a ieri di essere intoccabili.

Invece, centinaia di loro hanno ricevuto una notifica da parte delle forze dell’ordine: un invito a presentarsi, a collaborare o — in caso contrario — a prepararsi a procedimenti penali. La guerra cyber, oggi, non è più un gioco: ha regole, confini e responsabilità. E per la prima volta gli attacchi digitali ideologici sono trattati come minacce alla sicurezza nazionale.

Il fronte europeo

La sfida per l’Europa ora è duplice. Da un lato rafforzare le proprie difese cyber, come già fanno Estonia e Lituania da anni. Dall’altro, costruire una cultura pubblica della cybersicurezza, che passi anche dalla consapevolezza collettiva. Non si tratta solo di difendere un firewall, ma di proteggere una democrazia. Perché la vera ambizione di gruppi come NoName057(16) non è oscurare un sito: è indebolire la fiducia nei sistemi, screditare le istituzioni, scatenare il dubbio.

La guerra ibrida ha questo volto: silenzioso, tecnico, simbolico. Ma adesso ha anche un nome e un’operazione che la racconta. Si chiama Eastwood e parte dell’Europa — anche quella italiana — può dire di aver vinto un round.