NoName057(16) - Biến thể gián điệp phi truyền thống

Giải mã chiến dịch “Eastwood”

Ngày 16/7/2025, Europol - Cơ quan Cảnh sát Hình sự châu Âu phối hợp với lực lượng chức năng Đức, Tây Ban Nha và 12 quốc gia đồng minh đã công bố kết quả chiến dịch quốc tế mang mật danh “Eastwood”. Đây được đánh giá là một trong những chiến dịch chống tội phạm mạng quy mô lớn nhất từ trước đến nay tại châu Âu, nhằm triệt phá mạng lưới tin tặc NoName057(16), nhóm bị cáo buộc tiến hành nhiều cuộc tấn công mạng nhằm vào các quốc gia.

Theo thông tin chính thức từ Europol, các lực lượng tham gia đã ban hành 7 lệnh truy nã quốc tế đối với những đối tượng được cho là đóng vai trò nòng cốt trong hệ thống điều hành và tài trợ cho NoName057(16). Trong số này, phía Đức phát hành 6 lệnh, còn Tây Ban Nha phụ trách truy nã 1 đối tượng.

Chiến dịch được triển khai đồng loạt trên diện rộng, với hơn 24 địa điểm tại nhiều quốc gia châu Âu bị khám xét đồng thời. Ngoài Đức và Tây Ban Nha, các cuộc điều tra đồng thời diễn ra tại Hà Lan, Pháp, Ba Lan, Lithuania và Bồ Đào Nha. Cơ quan chức năng đã thu giữ hàng trăm máy chủ, thiết bị lưu trữ dữ liệu, ví tiền điện tử cùng nhiều hệ thống máy tính được xác định có liên quan trực tiếp tới các hoạt động tấn công mạng có tổ chức.

Đáng chú ý, trong quá trình trấn áp, lực lượng điều tra đã vô hiệu hóa hơn 100 máy chủ vận hành phần mềm DDoS có tên DDoSia - công cụ được NoName057(16) sử dụng để phát động các đợt tấn công từ chối dịch vụ quy mô lớn. DDoSia cho phép bất kỳ cá nhân nào cũng có thể tham gia vào các đợt tấn công chỉ bằng vài thao tác đơn giản, dù không cần hiểu biết sâu về công nghệ.

Cùng với việc đánh sập các máy chủ kỹ thuật, cơ quan chức năng cũng đồng thời phong tỏa toàn bộ các kênh điều phối chính của nhóm trên nền tảng Telegram. Đây là nơi NoName057(16) duy trì hoạt động liên lạc, lên kế hoạch và tuyển mộ cộng đồng tình nguyện viên tham gia các chiến dịch tấn công mạng xuyên quốc gia.

Kết quả điều tra bước đầu cho thấy, nhóm này đã vận hành mô hình “tấn công đám đông” với sự tham gia của hơn 4.000 người trên khắp thế giới. Những cá nhân này được hướng dẫn cách sử dụng phần mềm DDoS tự động, thực hiện các cuộc tấn công mạng nhắm vào cơ quan chính phủ, tổ chức tài chính và cơ sở hạ tầng trọng yếu tại nhiều nước châu Âu. Để khuyến khích cộng đồng tham gia, nhóm sử dụng hình thức trả thưởng bằng tiền mã hóa, từ đó tạo ra một mạng botnet quy mô lớn (botnet là mạng lưới các máy tính hoặc thiết bị bị hacker điều khiển từ xa để cùng thực hiện các cuộc tấn công mạng theo chỉ đạo).

Hoạt động của NoName057(16) được giới chuyên gia an ninh mạng châu Âu nhận định là điển hình cho mô hình gián điệp mạng hỗn hợp, hình thái tác chiến mới kết hợp giữa công nghệ số, chiến tranh tâm lý và chiến dịch gây nhiễu thông tin. Khác với các nhóm tin tặc truyền thống chỉ tập trung vào trộm cắp dữ liệu hay phá hoại hệ thống, NoName057(16) chủ yếu tiến hành các cuộc tấn công nhằm tạo ra gián đoạn trên diện rộng, đặc biệt vào những thời điểm nhạy cảm về chính trị và ngoại giao.

Mục tiêu của các chiến dịch này không nằm ở việc chiếm quyền kiểm soát hệ thống hay làm tê liệt vĩnh viễn hạ tầng số, mà là gây rối loạn tạm thời nhưng có tính toán, nhằm khuếch đại tác động về mặt dư luận. Khi các trang web chính phủ, hệ thống ngân hàng hoặc cổng thông tin của các tổ chức quốc phòng liên tục bị gián đoạn, thông điệp mà nhóm muốn phát đi là làm lung lay niềm tin của xã hội vào khả năng bảo vệ không gian mạng của các quốc gia.

Từ thời điểm xuất hiện vào tháng 3/2022, ngay sau khi Nga phát động chiến dịch quân sự tại Ukraine, NoName057(16) đã nhanh chóng trở thành một trong những lực lượng tấn công mạng hoạt động mạnh nhất châu Âu, thường xuyên thực hiện các đợt tấn công DDoS vào hệ thống của chính phủ, ngân hàng, tổ hợp quốc phòng, cơ sở năng lượng và các hãng truyền thông. Tại Đức, từ năm 2024 đến đầu 2025, NoName057(16) đã tiến hành ít nhất 14 đợt tấn công quy mô lớn, ảnh hưởng tới hơn 250 tổ chức, trong đó có nhiều đơn vị quản lý hạ tầng trọng yếu.

Hoạt động của NoName057(16) không chỉ giới hạn tại Đức mà đã lan rộng khắp Bắc Âu, vùng Baltic và Đông Âu - những khu vực thường xuyên trở thành mục tiêu tấn công. Nhóm đặc biệt chú trọng lựa chọn thời điểm nhạy cảm để tung ra các đợt tấn công đồng loạt, như trong các hội nghị thượng đỉnh NATO, phiên họp quốc hội châu Âu,... Những chiến dịch này gây ra tình trạng quá tải hệ thống, khiến nhiều trang thông tin chính phủ, mạng lưới quân sự và hạ tầng doanh nghiệp lớn bị gián đoạn, gây ảnh hưởng không nhỏ tới hoạt động điều hành của các quốc gia bị tấn công.

Các chuyên gia nhận định rằng NoName057(16) đã đi tiên phong trong việc “game hóa” hoạt động tấn công mạng. Khác với các nhóm hacker thông thường, NoName057(16) xây dựng một hệ thống tài chính riêng biệt nhằm duy trì và mở rộng bộ máy tấn công của mình. Nhóm trả thưởng cho các “tình nguyện viên mạng” bằng tiền mã hóa như Bitcoin hoặc Monero - loại tiền ảo có tính ẩn danh cao, giúp che giấu dòng tiền và gây khó khăn cho quá trình truy vết dòng tài chính trong điều tra quốc tế.

Đặc biệt, nhóm này không chỉ sử dụng công cụ có sẵn mà còn tự phát triển phần mềm tấn công riêng, nổi bật là DDoSia - một công cụ tấn công từ chối dịch vụ phân tán (DDoS) được phát hành công khai qua các kênh Telegram của nhóm. Phần mềm này có giao diện đơn giản, chỉ cần vài thao tác cơ bản là bất kỳ ai cũng có thể tham gia vào chiến dịch tấn công, kể cả những người không có chuyên môn về lập trình. Mô hình này biến NoName057(16) thành một dạng “cộng đồng hacker kiểu mới”, khi huy động được một lượng lớn “lính đánh thuê mạng” trên khắp thế giới, tạo nên sức mạnh tấn công phi tập trung nhưng vẫn nằm trong sự điều phối của các đối tượng cầm đầu.

Đến thời điểm hiện tại, cơ quan chức năng châu Âu chưa công bố danh tính của 7 nghi phạm bị phát lệnh truy nã quốc tế. Tuy nhiên, các nguồn tin điều tra khẳng định đây là những nhân vật giữ vai trò then chốt, chịu trách nhiệm điều phối kỹ thuật, duy trì hạ tầng vận hành và quản lý nguồn tài chính phục vụ cho các chiến dịch tấn công. Các lực lượng chức năng đang tiếp tục phối hợp với các nền tảng công nghệ và sàn giao dịch tiền mã hóa để mở rộng truy vết, lần tới các mắt xích còn lại trong hệ thống.

Lời cảnh tỉnh về hình thái chiến tranh mạng thế hệ mới

Vụ truy quét NoName057(16) cho thấy rõ những thay đổi căn bản trong hình thái chiến tranh mạng hiện đại. Khác với các hoạt động tấn công mạng truyền thống, với mục tiêu chủ yếu là đánh cắp dữ liệu, tống tiền hoặc phá hủy hạ tầng, các nhóm như NoName057(16) đang áp dụng chiến thuật mới: biến tấn công mạng thành công cụ gây áp lực chính trị, thao túng tâm lý xã hội và làm xói mòn niềm tin vào thể chế. Đây là hình thức tác chiến phi đối xứng, khi các nhóm tin tặc tận dụng không gian mạng để tạo ra các hiệu ứng xã hội vượt xa thiệt hại vật chất thông thường.

Đáng chú ý, NoName057(16) biến không gian mạng thành mặt trận tuyên truyền đa tầng, vừa tấn công kỹ thuật số, vừa khuếch tán thông điệp chính trị thông qua mạng xã hội và các nền tảng công cộng. Các chiến dịch DDoS do nhóm thực hiện thường được công bố rộng rãi trên các kênh truyền thông do chính nhóm điều hành, với danh sách mục tiêu, thời gian tấn công và tuyên bố lập trường rõ ràng.

Sự phân tán về lực lượng cũng là yếu tố khiến các chiến dịch tấn công của NoName057(16) trở nên khó đối phó hơn. Nhóm không vận hành theo mô hình chặt chẽ như các tổ chức tội phạm mạng truyền thống mà tạo ra một cộng đồng mở, thu hút hàng nghìn người tham gia dưới danh nghĩa “tình nguyện viên số”. Việc bất kỳ ai cũng có thể tham gia tấn công chỉ với một phần mềm đơn giản khiến hoạt động trở nên khó kiểm soát, đồng thời làm mờ ranh giới giữa hacker chuyên nghiệp và người dùng phổ thông tham gia với động cơ chính trị hoặc thậm chí chỉ vì tò mò.

Nguy hiểm hơn, việc phát hành công khai công cụ tấn công như DDoSia còn tạo ra nguy cơ lan tỏa mô hình tấn công sang các nhóm khác, vượt ra ngoài khuôn khổ của NoName057(16). Khi một công cụ có khả năng tấn công được phổ biến rộng rãi, nguy cơ bị các tổ chức tội phạm mạng hoặc các nhóm đối kháng khác khai thác là điều khó tránh khỏi. Điều này đặt ra thách thức lớn cho các quốc gia trong việc kiểm soát không gian mạng, nhất là khi các nhóm hacker không còn hoạt động biệt lập mà liên tục trao đổi công cụ, phương pháp và thậm chí là nguồn lực tài chính.

Sự kiện cũng đánh dấu một bước chuyển đáng chú ý trong cách ứng phó của châu Âu trước hình thái chiến tranh mạng thế hệ mới. Thay vì chỉ nhắm vào những cá nhân trực tiếp thao tác tấn công, lực lượng chức năng đã mở rộng phạm vi truy quét sang toàn bộ hệ sinh thái đứng sau các chiến dịch này, bao gồm hạ tầng kỹ thuật, phần mềm tấn công, hệ thống điều phối cộng đồng và đặc biệt là nguồn tài chính vận hành. Đây là cách tiếp cận “đánh vào gốc rễ”, không chỉ triệt phá hành vi vi phạm cụ thể, mà còn làm suy yếu khả năng tổ chức, duy trì và mở rộng của các nhóm hacker mang màu sắc chính trị như NoName057(16).

Việc triệu tập hơn 1.000 cá nhân tham gia các kênh điều phối tấn công trên Telegram thể hiện sự cứng rắn mới trong cách xử lý các “tình nguyện viên mạng”. Thay vì coi họ là những nhân tố bên lề, lực lượng thực thi pháp luật đã xác định đây chính là thành tố then chốt tạo nên sức mạnh lan tỏa của các nhóm tấn công mạng kiểu mới. Dù chưa rõ có bao nhiêu người trong số này sẽ bị truy tố hình sự, hành động này đã tạo ra một thông điệp răn đe rõ ràng: không còn vùng xám cho những ai tham gia vào các chiến dịch tấn công dù dưới danh nghĩa “tình nguyện số”.

NoName057(16) cho thấy rõ một thực tế không thể phủ nhận: không gian mạng đang dần trở thành một chiến trường mới, nơi các hoạt động tấn công không chỉ nhắm đến cơ sở hạ tầng số hay dữ liệu thông tin, mà còn trực tiếp tác động đến ổn định xã hội, trật tự chính trị quốc gia. Khi mục tiêu là gây rối loạn, thao túng nhận thức và làm suy yếu khả năng phòng thủ trên mặt trận số, ranh giới giữa tội phạm mạng, gián điệp mạng và tác chiến phi truyền thống đang dần trở nên mờ nhạt.

Chiến dịch “Eastwood” vì thế được nhìn nhận như một bước khởi đầu trong quá trình đối phó với chiến tranh mạng hỗn hợp thời đại mới. Việc vô hiệu hóa hạ tầng tấn công, ngắt mạch dòng tiền và phong tỏa kênh điều phối của NoName057(16) đã khẳng định rằng, dù các nhóm hacker hoạt động phân tán, ẩn danh và được công nghệ che giấu tinh vi đến đâu, không gian mạng vẫn không thể là vùng xám pháp lý cho mọi hành vi phá hoại.

Vấn đề đặt ra không chỉ là xử lý hậu quả của một vụ tấn công, mà còn là câu chuyện dài hạn về an ninh số trong kỷ nguyên địa chính trị công nghệ. Khi các quốc gia bắt đầu phối hợp chặt chẽ, khi hành lang pháp lý quốc tế được vận dụng linh hoạt và chủ động, thì ngay cả những chiến dịch tấn công xuyên biên giới với quy mô toàn cầu cũng vẫn có thể bị phát hiện, truy dấu và xử lý theo đúng khuôn khổ pháp luật quốc tế.

NoName057(16) chỉ là một mắt xích trong bức tranh rộng hơn về an ninh mạng thời đại mới, nơi mọi quốc gia đều phải sẵn sàng thích ứng với những thách thức chưa từng có tiền lệ...