Operazione Eastwood: colpo al cybercrime filorusso in Europa
Indice
1. Introduzione all’Operazione Eastwood 2. Il volto del gruppo NoName057(16) 3. Il ruolo di Europol ed Eurojust nel coordinamento 4. Dettagli e sviluppi dell’operazione: arresti, mandati, perquisizioni 5. Il sequestro e la disattivazione dei server hacker 6. Coinvolgimento italiano: i nomi e le accuse 7. Gli attacchi DDoS in Europa: la strategia dei cybercriminali 8. Impatti e rischi per la sicurezza italiana ed europea 9. La reazione delle autorità nazionali e internazionali 10. Prospettive future della lotta al cybercrime 11. Sintesi finale
Introduzione all’Operazione Eastwood
Il 17 luglio 2025 segna una data cruciale per la sicurezza informatica europea: viene annunciato il successo dell’operazione Eastwood, un’iniziativa coordinata da Europol ed Eurojust che ha colpito duramente il gruppo cybercriminale filorusso NoName057(16). Questo gruppo, emerso negli ultimi anni come una delle minacce principali, era responsabile di una lunga serie di attacchi DDoS (Distributed Denial of Service) contro infrastrutture critiche e obiettivi istituzionali di vari Paesi europei. La portata dell’intervento testimonia la crescita del fenomeno cybercrime e la necessità di una cooperazione internazionale sempre più stretta e strutturata.
Il volto del gruppo NoName057(16)
NoName057(16), prevalentemente di matrice filorussa, si era negli ultimi mesi guadagnato una nomea sinistra tra le forze dell’ordine e le organizzazioni di sicurezza cibernetica. L’attività principale del gruppo concerneva azioni di sabotaggio virtuale, spesso inquadrate in un contesto geopolitico volto a sostenere gli interessi della Russia contro Stati considerati ostili. Bersagli ricorrenti degli attacchi DDoS erano portali governativi, siti di infrastrutture strategiche (trasporti, energetici, comunicazioni), lasciando spesso i servizi pubblici digitali inaccessibili anche per diverse ore.
Questi attacchi, apparentemente di semplice attuazione tecnica, rappresentavano però un danno strategico e reputazionale di primo piano per le nazioni colpite, specie nel contesto delle tensioni internazionali degli ultimi anni. Il gruppo NoName057(16) operava sfruttando una vasta rete di server dislocati in diversi Paesi, camuffando le proprie tracce e rendendo complessa l’attribuzione delle responsabilità.
Il ruolo di Europol ed Eurojust nel coordinamento
Operazione Eastwood prende forma grazie a una collaborazione strettissima tra le forze di polizia di diversi Paesi e le due principali agenzie europee nella lotta al cybercrime: Europol ed Eurojust. Il ruolo delle due agenzie è stato determinante, non solo nel favorire lo scambio informativo ma soprattutto nel coordinare tempi e modalità degli interventi.
Europol, con la sua European Cybercrime Centre, ha fornito supporto operativo attraverso analisi avanzate delle reti informatiche, monitoraggio degli indirizzi IP sospetti e delle infrastrutture collegate al gruppo hacker. Eurojust, dal canto suo, ha permesso un rapido raccordo tra le procure e gli organismi legali della giurisdizione degli Stati coinvolti, facilitando la tempestiva emissione di mandati internazionali di cattura e ordinanze di perquisizione.
Dettagli e sviluppi dell’operazione: arresti, mandati, perquisizioni
Il successo di questa operazione transnazionale è testimoniato dai numeri significativi: sono stati effettuati due arresti immediati, con la notifica di sette mandati di cattura nei confronti di altri sospetti individuati nel corso delle indagini. Il tutto corredato da un vastissimo piano di oltre 24 perquisizioni, che hanno coinvolto abitazioni private, sedi lavorative e server farm di vari Paesi europei.
La pianificazione e l’esecuzione di queste misure hanno richiesto un’ingente mobilitazione di risorse e personale: decine di tecnici informatici, agenti specializzati in cybercrime ed esperti di computer forensics hanno lavorato all’unisono, per assicurare la conservazione delle prove digitali, l’identificazione dei complici e la messa in sicurezza dei sistemi compromessi.
Le autorità hanno dovuto dotarsi di strumenti investigativi avanzati, come software di intelligenza artificiale per correlare dati di accesso e log, ma anche recapiti fisici e identità digitali. Le indagini, iniziate già da molti mesi, hanno visto una stretta collaborazione tra le polizie di Paesi europei come Italia, Francia, Germania, Polonia, Spagna e alcuni Stati dell’Est Europa.
Il sequestro e la disattivazione dei server hacker
Tra i risultati più tangibili dell’operazione va annoverata la disattivazione di oltre 100 server utilizzati dal gruppo NoName057(16) per coordinare gli attacchi e gestire il traffico malevolo. Si tratta di server-hosting spesso collocati in Paesi con legislazioni permissive o scarsa cooperazione internazionale, scelti proprio per ostacolare l’azione delle forze investigative.
La neutralizzazione di questa infrastruttura rappresenta un duro colpo al gruppo cybercriminale filorusso, che vede così interrotta la sua capacità di azione coordinata e di offuscamento delle tracce. Il sequestro ha inoltre permesso agli investigatori di acquisire una mole imponente di dati: registri, chat, indirizzi, movimenti finanziari, contatti e strumenti di comunicazione tra i membri del gruppo.
L’acquisizione di queste informazioni potrebbe rivelarsi decisiva per le indagini ancora in corso, per risalire ai vertici operativi e agli eventuali mandanti delle campagne di attacco. Non meno importante, la chiusura dei server apre la strada a una maggiore sicurezza generale, impedendo nel breve periodo la ripresa delle offensive digitali coordinate da NoName057(16).
Coinvolgimento italiano: i nomi e le accuse
Uno degli aspetti più rilevanti dell’Operazione Eastwood riguarda la presenza, all’interno della struttura del gruppo hacker, di almeno cinque cittadini italiani identificati dalle autorità come sospetti attivamente coinvolti negli attacchi. I loro nomi non sono stati ancora resi noti ufficialmente, per ragioni di riservatezza investigativa e tutela dei diritti.
Le accuse formalizzate riguardano una serie di reati gravi, tra cui l’associazione per delinquere finalizzata all’accesso abusivo a sistemi informatici, la detenzione e la diffusione di strumenti di hacking, la collaborazione a cyberattacchi contro infrastrutture di interesse pubblico. Non si esclude che alcuni di questi soggetti abbiano operato anche in veste di sviluppatori software, facilitatori logistici o responsabili della compromissione di reti italiane utilizzate come testa di ponte per attacchi verso l’Europa.
L’individuazione di sospetti italiani nella cybercriminalità filorussa rappresenta una preoccupante conferma dell’internazionalità del fenomeno hacker, che non conosce frontiere geografiche né ideologiche. Le indagini proseguono per accertare eventuali collegamenti con altri gruppi e per individuare complici o reti di fiancheggiamento a livello locale e internazionale.
Gli attacchi DDoS in Europa: la strategia dei cybercriminali
Gli attacchi DDoS rappresentano una delle modalità più diffuse e insidiose di aggressione informatica a infrastrutture pubbliche e private. L’obiettivo principale di questa tipologia di attacco è saturare le risorse di un sito web o di una rete, rendendo il servizio inaccessibile agli utenti regolari e causando rallentamenti o interruzioni spesso prolungate.
NoName057(16) aveva perfezionato tecniche di attacco basate su botnet, ovvero reti di dispositivi infetti e controllati a distanza, spesso costituiti da computer di ignari privati cittadini in tutto il mondo. Attraverso queste reti, venivano generate enormi quantità di traffico malevolo, convogliato verso i target da colpire.
Le vittime di queste offensive sono state numerose: amministrazioni pubbliche, enti sanitari, società fornitrici di servizi essenziali. Gli attacchi non si sono limitati a danneggiare le infrastrutture tecniche ma hanno anche avuto un impatto sulla fiducia dei cittadini nell’utilizzo dei servizi digitali. Le campagne DDoS venivano spesso lanciate in concomitanza con eventi politici o momenti di tensione internazionale, suggerendo una strategia attentamente coordinata con obiettivi di destabilizzazione.
Impatti e rischi per la sicurezza italiana ed europea
La portata degli attacchi orchestrati dal gruppo filorusso evidenzia alcuni punti deboli nelle difese delle infrastrutture digitali italiane ed europee. Sebbene siano stati fatti importanti passi avanti negli ultimi anni, la gestione delle minacce cybercrime continua a richiedere investimenti significativi sia in termini di tecnologia che di formazione degli operatori e di sensibilizzazione della popolazione.
In particolare, il coinvolgimento di italiani mette in luce come le maglie della cybersicurezza siano ancora permeabili e come sia necessario un approccio multidisciplinare alla prevenzione: oltre alla difesa tecnica, serve un’azione legislativa efficace e una maggiore collaborazione tra pubblico e privato.
Un rischio concreto, evidenziato dall’operazione, è quello della ripresa delle attività di cybercrime con modalità differenti o sotto altre sigle, anche a seguito dello smantellamento di una rete organizzata. Per questo la cooperazione internazionale è destinata a crescere e rappresenta oggi uno dei pilastri fondamentali delle strategie di contrasto.
La reazione delle autorità nazionali e internazionali
Alla notizia della riuscita dell’Operazione Eastwood, le reazioni delle autorità italiane e internazionali sono state unanimi nel riconoscere il successo della strategia di cooperazione multi-agenzia. Il Ministero degli Interni italiano, tramite una nota ufficiale, ha lodato “l’efficacia e la tempestività degli interventi coordinati e la capacità di fornire una risposta concreta alle minacce cibernetiche che mettono a rischio la sicurezza nazionale ed europea”.
Europol ed Eurojust hanno sottolineato l’importanza della raccolta e della condivisione di informazioni, e hanno annunciato l’intenzione di rafforzare ulteriormente i meccanismi di collaborazione, non solo contro i gruppi hacker filorussi, ma anche verso nuove minacce emergenti da altre aree geopolitiche.
Sul fronte europeo, la Commissione UE ha anticipato prossimi investimenti nel rafforzamento delle capacità digitali degli Stati membri e nell’adozione di nuovi strumenti normativi per la rapida identificazione e neutralizzazione delle minacce. Anche l’Agenzia italiana per la cybersicurezza nazionale (ACN) ha reso noto di aver intensificato le sinergie con le principali aziende tecnologiche private.
Prospettive future della lotta al cybercrime
Il successo dell’operazione Eastwood rappresenta un punto di svolta ma anche un campanello d’allarme: il mondo del cybercrime muta con estrema rapidità, e gruppi come NoName057(16) potrebbero ricostituirsi con nuove modalità. La lotta agli attacchi DDoS e alle campagne di destabilizzazione digitale non può prescindere da un aggiornamento costante delle tecnologie di difesa e da una formazione continua degli operatori di sicurezza.
Le prospettive prevedono la creazione di task force sovranazionali permanenti, investimenti nella ricerca di strumenti di intelligenza artificiale in grado di prevenire gli attacchi e il varo di campagne di sensibilizzazione rivolte a cittadini e imprese, per ridurre il rischio di compromissione di dispositivi privati e aziendali.
L’esperienza maturata con Eastwood potrà fare scuola: occorre però che le iniziative si traducano rapidamente in ordinamenti efficaci, con regole chiare che permettano di agire con rapidità ma nel rispetto dei diritti fondamentali.
Sintesi finale
L’operazione Eastwood segna un passo fondamentale nella lotta al cybercrime internazionale: il coordinamento tra Europol ed Eurojust ha permesso di infliggere un colpo pesantissimo al gruppo cybercriminale filorusso NoName057(16), arrestando membri chiave, identificando almeno cinque italiani coinvolti e smantellando l’infrastruttura tecnologica usata per attacchi DDoS in tutta Europa. Tuttavia, la minaccia rimane attuale e richiede una vigilanza costante, investimenti strutturali e una collaborazione sempre più stretta tra Stati, agenzie ed enti privati. Soltanto attraverso una risposta globale e integrata l’Europa e l’Italia potranno mantenere il controllo sulle nuove frontiere del crimine informatico e garantire la sicurezza di cittadini, dati e infrastrutture strategiche.