Selon Imperva (blog), une analyse de l’efficacité de l’Opération Eastwood contre le groupe hacktiviste pro-russe NoName057(16) montre une perturbation temporaire suivie d’une reprise accélérée des activités.
• Impact global: l’opération internationale a saisi plus de 100 serveurs et arrêté des membres clés, imposant une courte pause opérationnelle. Toutefois, le groupe a repris avec une augmentation de 80% du volume d’attaques, la formation de nouvelles alliances et l’extension des cibles aux pays impliqués dans le démantèlement. Le bilan met en évidence la valeur mais aussi les limites des actions de perturbation coordonnées.
• Modèle et capacités: NoName057(16) s’appuie sur un modèle DDoS participatif via l’outil DDOSIA distribué sur des canaux Telegram, mobilisant des volontaires. Malgré la saisie d’infrastructures, le groupe a conservé ses capacités techniques, a pivoté vers de nouveaux serveurs et est passé d’opérations solo à des campagnes collaboratives sous le cadre Z-Alliance.
• Méthodologie et cibles: la méthodologie reste centrée sur des DDoS volumétriques visant des sites gouvernementaux et municipaux. Le groupe revendique en outre 13 intrusions supplémentaires touchant des infrastructures critiques, dont des installations d’eau et des systèmes de contrôle industriel (ICS).
• Technique et effet de l’opération: bien que l’Opération Eastwood ait brièvement désorganisé l’adversaire par des saisies de serveurs et des arrestations, NoName057(16) a rapidement adapté son infrastructure et son mode opératoire, illustrant la résilience des écosystèmes de cybercriminalité appuyés par le crowdsourcing.
TTPs observés:
- DDoS volumétriques coordonnés ✅
- Outil DDOSIA, distribution via Telegram 📣
- Mobilisation de volontaires (crowd-sourced DDoS) 👥
- Pivot rapide d’infrastructure (nouveaux serveurs) 🔄
- Campagnes collaboratives sous Z-Alliance 🤝
- Ciblage de sites gouvernementaux/municipaux et revendications d’intrusions ICS/secteur de l’eau 🏛️💧
Il s’agit d’une analyse de menace visant à mesurer l’impact réel d’une opération de perturbation contre un acteur hacktiviste.
🧠 TTPs et IOCs détectés
TTPs
DDoS volumétriques coordonnés, Utilisation de l’outil DDOSIA, Distribution via Telegram, Mobilisation de volontaires (crowd-sourced DDoS), Pivot rapide d’infrastructure (nouveaux serveurs), Campagnes collaboratives sous Z-Alliance, Ciblage de sites gouvernementaux/municipaux, Intrusions ICS/secteur de l’eau
IOCs
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://www.imperva.com/blog/operation-eastwood-measuring-the-real-impact-on-noname05716/