Europol uderzył w grupę NoName057(16) odpowiedzialną za cyberataki na Polskę

Prorosyjskie ugrupowanie hakerskie, odpowiadające za liczne ataki DDoS i dysponujące rozbudowaną siecią botnetów, rozpracowano dzięki współpracy służb z kilkunastu krajów, w tym Polski.

Operację nazwaną „Eastwood” przeprowadzono w dniach 14-17 lipca 2025 roku. Brały w niej udział służby dwunastu krajów – w tym Francji, Niemiec, Włoch, Polski, Hiszpanii i Stanów Zjednoczonych. W jej wyniku zneutralizowano ponad sto komputerów zainfekowanych przez grupę, co doprowadziło do odłączenia jej centralnych serwerów. Działania te pozwoliły unieszkodliwić infrastrukturę wykorzystywaną do cyberataków oraz skutkowały wystawieniem siedmiu międzynarodowych nakazów aresztowania wobec obywateli Rosji zaangażowanych w działalność przestępczą grupy.

Grupa aktywna od 2022 roku

NoName057(16) od 2022 roku przeprowadza kampanie DDoS (Distributed Denial of Service) wymierzone głównie w instytucje publiczne, media, banki i przedsiębiorstwa z krajów wspierających Ukrainę. Grupa stała się znana po inwazji Rosji na Ukrainę, działając w ramach tzw. cyberwojny informacyjnej. Ostatnie ataki realizowane przez prorosyjskie ugrupowanie miały miejsce podczas szczytu NATO w Holandii.

NoName057(16) to również jedna z najbardziej aktywnych grup cyberprzestępczych, atakujących Polskę. „Na przestrzeni ostatnich dwóch lat przeprowadzali oni serię ataków na polskie portale i strony internetowe. Na szczęście większość z nich była bez problemu odpierana” – mówi Wojciech Głażewski, country manager firmy Check Point Software Technologies w Polsce.

W 2023 roku grupa chwaliła się atakami m.in. na strony internetowe polskich banków, czy warszawskiej Giełdy Papierów Wartościowych. Tylko w maju 2025 roku NoName057(16) wraz z Dark Storm zaatakowali strony Wytwórni Papierów Wartościowych, Stowarzyszenia Emitentów Giełdowych, Energa, PARP a także operatora Play. Zaatakowane miały zostać również lotniska w Gdańsku i Poznaniu oraz Nest Bank.

Botnet, ideologia i kryptowaluty

Cechą charakterystyczną NoName057(16) jest brak formalnej struktury – grupę tworzą luźno powiązani hakerzy motywowani ideologicznie i finansowo. Ataki były gamifikowane – uczestnicy otrzymywali kryptowaluty i odznaki, a także mogli konkurować w rankingach aktywności. Ten model przyciągał młodych, często niedoświadczonych cyberprzestępców i umożliwiał szybki rozwój botnetu.

Chociaż międzynarodowa akcja „Eastwood” poważnie zakłóciła działalność grupy NoName057(16), eksperci zwracają uwagę, że jest to prawdopodobnie chwilowy sukces. „Choć ataki DDoS zostały zminimalizowane, grupa nadal działa, przechodząc na bardziej zaawansowane techniki, takie jak intruzje systemowe i wykradanie danych. Korzystają także z zaszyfrowanych kanałów komunikacyjnych, takich jak Telegram czy Discord, co utrudnia ich wykrycie” – twierdzi Rafa López, inżynier bezpieczeństwa w firmie Check Point.

Eksperci wskazują, że organizacje powinny wzmacniać swoje systemy ochrony przed atakami DDoS, a także wprowadzać wielowarstwowe strategie bezpieczeństwa, które obejmują m.in. systemy wykrywania intruzów, audyty bezpieczeństwa i regularne szkolenia dla pracowników.