Nach Darstellung der EU und Großbritanniens war Center 16, die für Fernmeldeaufklärung zuständige Einheit des FSB, für versuchte Cyber-Sabotage in Polen verantwortlich. Konkret geht es um den Angriff auf das polnische Stromnetz im vergangenen Dezember, der laut einem hochrangigen Minister damals „sehr nahe“ an einem „Blackout“ gewesen sei. Britische Behörden bezeichneten den Vorfall nun als „rücksichtslos“ und als weiteres Beispiel für „die unverantwortlichen Versuche des russischen Staates, Chaos in Europa zu säen“.
Die EU erklärte, zu den umfassenderen Aktivitäten gehörten das Eindringen in Regierungsnetze und die Sabotage kritischer Infrastruktur in Frankreich, Deutschland, Polen, Zypern, den Niederlanden, Österreich, der Slowakei, Rumänien und Finnland. In einer Erklärung von EU-Außenbeauftragter Kaja Kallas verurteilte die Staatengemeinschaft Russlands Verhalten und den „Missbrauch dieses Cyber-Ökosystems“, das öffentliche Dienste und kritische Infrastruktur angreife und Störungen sowie finanzielle Verluste verursache.
Die Zuschreibung des Angriffs auf Polen ist nicht unumstritten gewesen. Die Sicherheitsfirmen ESET und Dragos hatten den Vorfall zunächst einer als Sandworm verfolgten Gruppe zugerechnet, die mit dem russischen Militärgeheimdienst in Verbindung gebracht wird. CERT Polska bestritt diese Einordnung jedoch als erste Stelle und erklärte, die hinter dem Eindringen genutzte Infrastruktur zu einem Cluster zurückverfolgt zu haben, das mit dem FSB verknüpft sei.
Unabhängig davon warnte Polens Inlandsgeheimdienst im Mai, Cyber-Eindringversuche gegen Wasseraufbereitungsanlagen im Land hätten ein „direktes Risiko“ für die Kontinuität der Wasserversorgung dargestellt. Auch diese Vorfälle werden im Zusammenhang mit den von den europäischen Partnern beschriebenen Aktivitäten gegen den Energie- und Wassersektor genannt.
Das gemeinsame Sanktionspaket richtet sich laut EU gegen mehr als 30 Personen und Organisationen aus Russlands Cyber-Ökosystem. Dazu zählen Geheimdienstoffiziere, private Firmen, denen die Rekrutierung von Hackern an russischen Universitäten vorgeworfen wird, Betreiber der Malware Lumma Stealer zum Diebstahl von Zugangsdaten sowie Personen mit Verbindungen zum kremlnahen Blog Rybar. Kallas sagte, Russland stütze sich weiterhin auf ein breites Geflecht aus Geheimdiensten, cyberkriminellen Gruppen, Hacktivisten und privaten Unternehmen, um böswillige Operationen gegen Europa und seine Partner durchzuführen.
Frankreich verhängte zusätzlich eigene Sanktionen und kündigte an, den russischen Botschafter einzubestellen. Paris sprach von „anhaltenden böswilligen Cyberaktivitäten zu Spionagezwecken“. Ein technischer Bericht des französischen Cyber Crisis Coordination Center, kurz C4, beschreibt die Operationen von Center 16 und identifiziert elf Abhörzentren in Russland, die von der Fernmeldeaufklärungseinheit genutzt worden sein sollen. Dazu zähle auch die Einheit 61240, die laut C4 auf Ziele in Frankreich ausgerichtet gewesen sei.
Der französische Bericht nennt außerdem die russischen Firmen AO AST und NPP Gamma, die die offensiven Cyberoperationen der Einheit unterstützt haben sollen. Als französische Ziele führt er unter anderem Systeme von Ministerien im Jahr 2014, das Netzwerk der französischen Botschaft in Moskau im Jahr 2018 und ein Forschungsinstitut mit Bezug zur französischen Verteidigungsindustrie im Februar 2025 auf, aus dem eine erhebliche Datenmenge gestohlen worden sei.
Parallel veröffentlichten die USA gemeinsam mit den Geheimdienst- und Sicherheitsbehörden eines Dutzends verbündeter Staaten eine Cyberwarnung. Darin heißt es, russische Akteure aus Center 16 suchten im Internet nach Geräten, die nur durch Standardzugangsdaten oder schwache Zugangsdaten geschützt seien. Großbritannien belegte zudem Personen hinter Lumma Stealer mit Sanktionen. Nach Angaben der National Crime Agency wurden in den vergangenen sechs Monaten mehr als 2.100 Opfer im Vereinigten Königreich mit der Schadsoftware infiziert. Britische Behörden erklärten, Russland habe mit Lumma gestohlene Zugangsdaten zur Unterstützung weltweiter Spionageoperationen genutzt.
Außenministerin Yvette Cooper sagte, die Sanktionen sollten das cyberkriminelle Ökosystem stören, das Moskaus Geheimdienste unterstütze. Das Paket erfasst auch zehn Personen aus dem Umfeld des pro-kremlnahen Militärblogs Rybar, darunter leitende Angestellte und Inhaltsersteller. Großbritannien wirft dem Medium vor, Desinformation über die Ukraine verbreitet und sich in Wahlen in Moldau und Armenien eingemischt zu haben.
Der Kreml weist seit langem zurück, offensive Cyberoperationen durchzuführen. Präsident Wladimir Putin hatte die europäischen Vorwürfe russischer Sabotage und Cyberangriffe im vergangenen Monat als haltlos bezeichnet und erklärt, sie dienten dazu, eigene „aggressive Pläne“ gegen Russland zu rechtfertigen.
