Prorusiškų programišių grupuotė, kurią Europos valdžios institucijos kaltina vykdant kibernetines atakas prieš vyriausybes, bankus ir infrastruktūrą Vakaruose, dalyvavimą kibernetiniuose nusikaltimuose pavertė „patriotiniu žaidimu“, į kurį savanorius verbuoja per kanalą „Telegram“ ir apdovanoja juos kriptovaliuta, praneša „The Moscow Times“.
Atsakomybę už paskirstytų paslaugų trikdymo atakų (DDoS) kampanijas prieš valstybines institucijas ir komercines įmones visoje Europoje nuo Rusijos plataus masto invazijos į Ukrainą 2022 m. prisiėmė grupuotė „NoName057(16)“.
Vakarų žvalgybos agentūros ir Europolas teigia, kad programišių veikla yra dalis platesnio Rusijos hibridinio karo prieš Kyjivą remiančias šalis.
Lenkijoje įsikūrusios naujienų agentūros „Vot Tak“ kartu su RKS kibernetinio saugumo ekspertais „Global“ atliktas tyrimas nustatė, kad grupuotės veikla nenuslopo ir po 2025 m. liepą surengtos didelės Europolo vadovaujamos operacijos „Eastwood“.
Išpuolis per Danijos savivaldos rinkimus
Vieną iš garsiausiai nuskambėjusių kampanijų kampanijų grupuotė įvykdė per Danijos savivaldos rinkimus 2025 m. lapkritį. Nerimaudama dėl galimų trikdžių, vietos valdžia įrengė atsarginius generatorius, spausdino popierinius rinkėjų sąrašus ir nupirko stovyklaujant naudojamus žibintus rinkimų apylinkėms elektros dingimo atvejams.
Atsargumo priemonių buvo imtasi po eilės kibernetinių atakų, kurios laikinai sutrikdė Danijos vyriausybės interneto svetainių, politinių partijų, savivaldybių administracijų, policijos tarnybų, geležinkelių operatorių ir gynybos pramonės bendrovės veiklą.
Atsakomybę už išpuolius prisiėmė „NoName057(16)“, kuri likus kelioms dienoms privačiame kanale perspėjo, kad kitas jos taikinys bus Danija.
Programišiai teigė pasirinkę Daniją, nes rinkimų kampanijos laikotarpiu šalies politikai padidino paramą Ukrainai.
Išpuoliai apsiribojo DDoS operacijomis, kurių metu į interneto svetaines nukreipiami didžiuliai dirbtinio srauto kiekiai, sustabdantys jų veiklą. Tokios atakos retai pridaro ilgalaikės žalos, bet gali sutrikdyti paslaugų teikimą valandoms ar dienoms ir sukelti didelį nerimą visuomenėje.
Veikimo būdas
Programišių grupuotė „NoName057(16)“ pirmą kartą apsireiškė 2022 m. kovą, praėjus kelioms savaitėms po to, kai Rusija pradėjo plataus masto invaziją į Ukrainą.
Iš pradžių jie taikėsi į Ukrainos žiniasklaidos ir valdžios institucijų interneto svetaines, vėliau išplėtė veiklą visoje Europoje ir už jos ribų surengdami išpuolius prieš Kyjivą palaikančias šalis, įskaitant JAV, Kanadą, Izraelį ir Taivaną.
Grupuotės manifestas atspindi Kremliaus naratyvą: Vakarai kaltinami „rusofobija“, cenzūra ir parama „Ukrainos teroristams“. Programišiai rengiamas atakas vadina kerštu už antirusišką politiką ir „tradicinių vertybių“ gynyba.
Grupuotės naudoja programinę įrangą DDoSia, kurią, pasak ekspertų, pakankamai paprasta įdiegti ne specialistams.
Įdiegus programinę įrangą įrenginys iš karto tampa kibernetinių nusikaltimų bendrininku.
Įrenginių naudotojai taikinių patys nesirenka. „NoName057(16)“ administratoriai pasiunčia atakų konfigūracijas iš nuomojamų valdymo serverių ir nurodo, kuriuos domenus ar IP adresus reikia atakuoti. Gavęs šias instrukcijas, užkrėstas įrenginys automatiškai pradeda generuoti srautą į pasirinktus taikinius.
Naudotojai prisijungia susisiekdami su administratoriais per „Telegram“ botą, gauna prieigos raktą ir serverio adresą, įveda duomenis į programą ir paspaudžia „Pradėti“. Nuo šios akimirkos procesas iš esmės vyksta automatiškai.
Pasak „RKS.Global“, vienas užkrėstas įrenginys gali sugeneruoti šimtus tūkstančių ar net milijonus užklausų per dieną. Bendrai tūkstančių įrenginių generuojamas srautas sukelia rimtą DDoS atakų pavojų.
Dalyviai už tai gauna kriptovaliutos „dCoin“, kurios kiekis priklauso nuo „sėkmingų“ užklausų, išsiųstų atakų metu, skaičiaus. Kuo daugiau srauto generuoja jų įrenginiai, tuo daugiau jiems mokama.
Pavyzdžiui, 500 tūkst. sėkmingų užklausų per dieną gali uždirbti 50 „dCoin“. Viena „dCoin“ verta 2 rublių arba apie 2,4 JAV dolerio centų ir gali būti konvertuojama į kriptovaliutą TON, o vėliau į grynuosius pinigus.
Naudotojai gali pasididinti pajamas įdiegdami programinę įrangą keliuose įrenginiuose arba įdarbindami kitus per nukreipimo nuorodas. Sistemoje taip pat suteikiami kariniai laipsniai, pvz., eilinis, seržantas ir pulkininkas, o aukščiausias laipsnis yra „generolas Dosi“.
Kanale „Telegram“ projektas pristatomas kaip lengvai uždirbami pinigai ir patriotinė pareiga.
Išardyti – sudėtinga
Siekdamos išardyti grupuotę „NoName057(16)“, Europos tarnybos 2025 m. liepą pradėjo bendrą operaciją „Eastwood“, kurioje dalyvavo 12 šalių. Operaciją koordinavo Europolas.
Pareigūnai konfiskavo daugiau nei 100 serverių, atliko 24 kratas, išdavė septynis arešto orderius ir apklausė 13 asmenų. Trys įtariamieji buvo suimti Prancūzijoje, Ispanijoje ir Lenkijoje.
Penki Rusijos piliečiai buvo įtraukti į Europolo ieškomiausių nusikaltėlių sąrašą. Daugiau nei 1 tūkst. įtariamų bendrininkų, įskaitant „Telegram“ administratorius, taip pat sulaukė įspėjimų dėl gresiančios baudžiamosios atsakomybės.
Nors tarnybos pranešė išardžiusios grupuotės veiklos infrastruktūrą, „Vot Tak“ ir „RKS.Global“ išanalizuoti duomenys parodė, kad atakos po kelių dienų atsinaujino, o visa veikla net suintensyvėjo.
Per aštuonis mėnesius iki operacijos pradžios tyrėjai užfiksavo 56 231 atakos komandą. Per kitus aštuonis mėnesius, nuo 2025 m. liepos iki 2026 m. kovo, suskaičiuota 61 666.
Nuo 2025 m. spalio pabaigos iki 2026 m. kovo vidurio „NoName057(16)“ įvykdė 1 530 sėkmingų operacijų – apie 300 per mėnesį.
Išardyti tokias grupuotes kaip „NoName057(16)“, „The Moscow Times“ teigimu, yra sudėtinga, nes joms vadovauja profesionalai, kurie žino, kaip galima paslėpti infrastruktūrą, užmaskuoti IP adresus ir greitai atnaujinti operacijas, jei pagrindiniai nariai lieka laisvi, „Vot Tak“ sakė kibernetinio saugumo ekspertas Leonidas Juldaševas.
Visgi, pasak jo, policijos veiksmai, įskaitant operaciją „Eastwood“, nėra beprasmiai – jų metu gali pavykti atskleisti infrastruktūrą, nustatyti įrenginius, suteikti prieigą prie vidinių ryšių ir sutrikdyti finansų srautus.
