Desmantelan una organización de hackers prorrusos que atacó las elecciones generales de 2023

La Policía Nacional ha participado en un macrooperativo internacional desarrollado en 12 países contra el grupo de hackers prorrusos «Noname057(16)» que ha permitido la detención en Zaragoza de uno de sus integrantes.

El detenido está acusado de un delito de sabotaje informático con finalidad terrorista.

La macrooperación, bautizada como 'Eastwood', ha permitido neutralizar la infraestructura cibernética central del grupo «Noname057(16)», alineado con los intereses de la Rusia de Vladimir Putin en el contexto de la guerra de Ucrania, y que es responsable de unos 500 ciberataques contra intereses españoles.

Ataque a las generales

Las fuerzas de seguridad les consideran responsables de los ataques que sufrió la web del Ministerio del Interior y la de la Junta Electoral Central con motivo de las elecciones generales del 23 de julio de 2023, que las dejaron durante un tiempo fuera de servicio

De forma orquestada, relevan a EFE fuentes cercanas a este operativo, Noname057(16) protagonizó también una sucesión de ataques con motivo de la Cumbre Europea celebrada en Granada que reunió a principios de octubre de 2023 a jefes de Estado y de Gobierno de la UE y a la que también asistió el presidente ucraniano Volodimir Zelenski.

En este contexto, el Juzgado Central número 1 de la Audiencia Nacional ha emitido una Orden Internacional de Detención (OID) contra un ciudadano de nacionalidad española, actualmente residente en Rusia, acusado de desempeñar un papel activo dentro del grupo como reclutador y propagandista.

El grupo de hackers disponía de una sólida infraestructura cibernética distribuida a nivel global, que incluía más de 600 servidores web desde los cuales se realizaban los ataques. De ellos, casi medio centenar han sido desmantelados e incautados en España, al ser considerados la principal ciberamenaza hacktivista contra nuestro país desde 2022 y también para otros países occidentales.

Cinco registros en España

Además de la detención este pasado martes de una persona en Zaragoza por su presunta participación en el delito de sabotaje informático con finalidad terrorista, los agentes también han practicado en España cinco entradas y registros en Madrid (3), Zaragoza (1) y Barcelona (1) de otras personas relacionadas con la investigación.

Los investigadores tienen bajo su radar a «Noname057(16)» desde el comienzo de la guerra en Ucrania por la invasión rusa, ya que vincula a este grupo criminal con unos 4.000 hackers afiliados con múltiples y complejos ciberataques a instituciones ucranianas y europeas o de EEUU y países miembros de la OTAN.

Las diligencias policiales se han desarrollado en 12 países incluyendo a España, Alemania, Francia, Finlandia, Italia, Suecia, Polonia, Lituania, República Checa, Países Bajos, Suiza, Estados Unidos, contando con el apoyo principal de Europol, Eurojust y Enisa.

En España, el desarrollo de la operación liderada por la Comisaría General de Información (CGI) de la Policía Nacional ha sido dirigida por el Juzgado Central de Instrucción número 1 y la Fiscalía de la Audiencia Nacional. También ha contado con la colaboración del Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI) y la Guardia Civil.

Una de las líneas de investigación se ha centrado en el uso de servicios de mensajería instantánea con los que este grupo criminal logró reclutar a un gran número de personas para que participaran en sus ciberataques, recurriendo a su vez a un software denominado «DdoSia». Para incentivar su permanencia, ofrecían pequeños pagos en criptomonedas y utilizaban un sistema de gamificación orientado a atraer a los más jóvenes, según las fuentes consultadas por Europa Press.

De esta forma, las autoridades españolas han inhabilitado el acceso a 42 servidores virtuales. De estos, se ha procedido a descargar información de 25 y a eliminar los datos de 8. Además, se han bloqueado varios servicios de almacenamiento en la nube, así como un monedero digital con criptoactivos, utilizado presuntamente para financiar la infraestructura informática.