Internationale Aktion gegen russische Hackergruppe NoName057(16) : Operation Eastwood : Behörden aus acht Ländern schalten Botnetz für DDoS-Angriffe ab und erlassen Haftbefehle gegen Hauptverantwortliche
Die Generalstaatsanwaltschaft Frankfurt am Main und das Bundeskriminalamt haben gemeinsam mit internationalen Partnern ein umfangreiches Botnetz der prorussischen Hackergruppe NoName057(16) abgeschaltet. Die Ermittler gehen mit Haftbefehlen gegen die Hauptverantwortlichen vor und durchsuchten zahlreiche Objekte mutmaßlicher Unterstützer.
Die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und das Bundeskriminalamt (BKA) führten am 15. Juli 2025 eine international koordinierte Aktion gegen die hacktivistische Gruppierung NoName057(16) durch. An der Operation „Eastwood“ beteiligten sich Strafverfolgungsbehörden aus den USA, den Niederlanden, der Schweiz, Schweden, Frankreich, Spanien und Italien mit Unterstützung von Europol und Eurojust.
Botnetz mit hunderten Servern abgeschaltet
Die Ermittler schalteten ein weltweit verteiltes Botnetz mit mehreren hundert Servern ab, das für gezielte digitale Überlastungsangriffe auf Webpräsenzen eingesetzt wurde. Bei Distributed-Denial-of-Service-(DDoS)-Angriffen werden Webseiten und Online-Dienste mit so vielen Anfragen überflutet, dass sie für reguläre Nutzer nicht mehr erreichbar sind.
Deutsche Behörden erwirkten sechs Haftbefehle gegen russische Staatsangehörige beziehungsweise in Russland wohnhafte Beschuldigte. Zwei von ihnen gelten als Hauptverantwortliche hinter NoName057(16). Die spanischen Behörden erließen einen weiteren Haftbefehl. Nach allen Beschuldigten wird international und teilweise öffentlich gefahndet.
Durchsuchungen in drei Ländern
Parallel dazu durchsuchten die Ermittler insgesamt 24 Objekte mutmaßlicher Unterstützer der Gruppierung, darunter ein Objekt in Berlin und zwei in Bayern. Die sichergestellten Beweismittel werden derzeit ausgewertet.
Zusätzlich informierten die Behörden mehr als 1.000 bislang nicht identifizierte Unterstützer der Hackergruppe über den Messengerdienst Telegram über die laufenden Maßnahmen und wiesen auf die Strafbarkeit ihrer Handlungen nach deutschem Recht hin.
Hacktivisten als kriminelle Vereinigung eingestuft
„Die Verantwortlichen, Mitglieder und Unterstützer der Gruppierung verfolgen wir als das, was sie sind: als kriminelle Vereinigung“, erklärt ZIT-Leiter Oberstaatsanwalt Dr. Benjamin Krause. „Durch diesen Ansatz ist es nicht mehr notwendig, bei jedem einzelnen Schadensfall mit neuen Ermittlungen zu beginnen.“
BKA-Präsident Holger Münch betont die Bedeutung der internationalen Zusammenarbeit: „Unsere abgestimmten Maßnahmen zeigen, dass wir gemeinsam mit unseren Partnern in der Lage sind, Angriffe im digitalen Raum aufzuklären und der gestiegenen Bedrohungslage im Cyberraum polizeiliche Maßnahmen entgegenzusetzen.“
Prorussische Hacktivisten mit politischer Agenda
Bei NoName057(16) handelt es sich um ein ideologisch geprägtes Hacktivisten-Kollektiv, das sich als Unterstützer der Russischen Föderation positioniert hat und im Kontext des Russland-Ukraine-Konflikts Cyberangriffe durchführt.
Die Gruppe nutzt den Messengerdienst Telegram, um öffentliche Aufmerksamkeit zu erregen und Unterstützer zu rekrutieren. Diese können eine spezielle Software namens „DDoSia“ herunterladen, mit der sie sich an den Angriffen beteiligen können. Nach Einschätzung der Strafverfolgungsbehörden umfasst das Unterstützernetzwerk mutmaßlich mehr als 4000 Nutzer.
Zahlreiche Angriffe auf deutsche Ziele
Deutschland war seit Beginn der Ermittlungen im November 2023 Ziel von insgesamt 14 Angriffswellen, die teilweise über mehrere Tage andauerten. Betroffen waren etwa 250 Unternehmen und Einrichtungen, darunter Rüstungsbetriebe, Stromversorger, Verkehrsbetriebe, öffentliche Einrichtungen und Behörden. Ähnliche Angriffe richteten sich gegen Infrastrukturen anderer Staaten, beispielsweise während der Europawahl oder zuletzt anlässlich des NATO-Gipfels in den Niederlanden.
Das Hauptziel der Angriffe bestand darin, mediale Aufmerksamkeit zu erreichen und dadurch Einfluss auf politische und gesellschaftliche Entscheidungen zu nehmen. Die Behörden stufen NoName057(16) als relevante hacktivistische Gruppierung ein, deren Aktionen darauf abzielen, das gesamtgesellschaftliche und politische Gefüge nachhaltig zu stören oder zu beeinflussen.
Öffentliche Fahndung nach Verdächtigen
Das BKA und die ZIT fahnden öffentlich nach fünf Akteuren der Hackergruppe. Lichtbilder und Beschreibungen zu den per internationalem Haftbefehl gesuchten Personen können auf der BKA-Webseite (www.bka.de/noname1) sowie über die Webseiten von Europol und Interpol (www.eumostwanted.eu) eingesehen werden.
(Quellen: BKA, ZIT / Dieser Beitrag wurde mithilfe von KI-Tools erstellt und redaktionell geprüft.)