Служба по расследованию финансовых преступлений Нидерландов (FIOD) провела масштабную операцию по изъятию более 800 серверов и задержала двух подозреваемых в нарушении санкционного законодательства ЕС. По версии следствия, конфискованная хостинг-инфраструктура использовалась для проведения кибератак и дезинформационных кампаний против европейских государств. Операция затронула дата-центры в нескольких городах Нидерландов и привела к масштабным сбоям у клиентов ряда хостинг-провайдеров, часть которых заявила о полной и необратимой потере инфраструктуры в четырёх странах.
Хронология операции и задержания
Операция стартовала 18 мая 2025 года и охватила дата-центры в Дронтене и Схипхол-Рейке, а также обыски прошли в Энсхеде и Алмере. Были задержаны два человека: 57-летний житель Амстердама — директор хостинговой компании, и 39-летний житель Гааги — руководитель провайдера, предоставлявшего сетевую инфраструктуру первой компании.
FIOD указывает, что задержанные «косвенно предоставляли экономические ресурсы» организациям, находящимся под санкциями Евросоюза. Расследование касается хостинговой компании, основанной 10 февраля 2022 года — за две недели до начала полномасштабного вторжения России в Украину. По версии следствия, инфраструктура этой компании использовалась для «дестабилизирующей деятельности против ЕС», включая кибератаки и распространение дезинформации.
Санкции и попытка обхода
20 мая 2025 года Совет ЕС расширил санкционные списки, добавив 21 физическое лицо и 6 организаций в ответ на российские гибридные угрозы. По данным FIOD, после включения хостинговой компании в санкционные списки значительная часть инфраструктуры была переведена на новую нидерландскую фирму, которую следствие считает подставной структурой для обхода санкций. Именно эта попытка обхода, по всей видимости, и стала основанием для активных действий правоохранительных органов.
Данный случай демонстрирует важный прецедент: европейские власти готовы преследовать не только напрямую подсанкционные структуры, но и посредников, обеспечивающих непрерывность их работы через создание юридических прикрытий.
Предполагаемые компании и связь с угрозами
Хотя FIOD официально не раскрывает названия компаний, нидерландское издание de Volkskrant провело собственное расследование и указало, что речь предположительно идёт о компаниях Stark Industries, WorkTitans и Mirhosting. По данным журналистов, инфраструктура этих компаний предположительно использовалась для транзита трафика пророссийской хактивистской группировки NoName057(16), известной DDoS-атаками на европейские государственные структуры и организации.
Как сообщается, после введения санкций против Stark Industries часть инфраструктуры и IP-адресного пространства перешла к нидерландской компании WorkTitans, работавшей под брендом THE.Hosting. Mirhosting, по данным расследования, обеспечивала размещение серверов и подключение к крупным европейским точкам обмена трафиком (IXP).
Важно подчеркнуть: идентификация конкретных компаний и связь инфраструктуры с NoName057(16) основаны на журналистском расследовании, а не на официальных заявлениях FIOD. Атрибуция требует дополнительного подтверждения.
Представители Mirhosting заявили de Volkskrant, что не поддерживали незаконную деятельность умышленно и реагировали на жалобы по мере их поступления. WorkTitans на запросы журналистов не ответили.
Последствия для клиентов
Операция FIOD повлекла серьёзные последствия для пользователей связанных хостинг-сервисов. Начиная с 19 мая, клиенты THE.Hosting, UFO.Hosting и GEO.Hosting начали сообщать о массовых сбоях: недоступности VPS, отказе панелей управления и биллинговых систем, отсутствии ответов технической поддержки.
Позднее клиенты получили уведомления о «масштабном техническом инциденте», в которых сообщалось, что инфраструктура в США, Германии, Нидерландах и Австрии «полностью утрачена и не подлежит восстановлению». Хостеры пообещали автоматическую выдачу новых серверов в других локациях и компенсацию, однако, по сообщениям пользователей, часть клиентов так и не получила замену, столкнувшись с потерей данных и проблемами с возвратом средств.
Эти сведения основаны на пользовательских отчётах и требуют осторожной оценки, однако масштаб жалоб указывает на реальность проблемы.
Оценка воздействия и выводы для отрасли
Данная операция затрагивает несколько уровней:
- Правоприменение санкций: впервые в рамках санкционного режима ЕС против российских гибридных угроз проведена настолько масштабная конфискация хостинг-инфраструктуры с одновременным задержанием операторов
- Борьба с «пуленепробиваемым» хостингом: операция демонстрирует, что европейские юрисдикции способны оперативно реагировать на перевод инфраструктуры между подставными компаниями
- Побочный ущерб: легитимные клиенты хостинг-провайдеров, не связанные с противоправной деятельностью, понесли реальные потери — от данных до финансовых средств
Рекомендации
Для организаций, использующих услуги малоизвестных хостинг-провайдеров, особенно с привлекательно низкими ценами:
- Проверяйте юридическую историю провайдера: дата регистрации, смена владельцев, связь с подсанкционными структурами — всё это доступно через публичные реестры и WHOIS
- Обеспечьте географическую диверсификацию резервных копий: данный инцидент показал, что конфискация может одновременно затронуть инфраструктуру в нескольких странах
- Проверьте текущие ASN и IP-блоки вашего провайдера: миграция IP-адресного пространства от подсанкционных компаний к новым юрлицам — прямой индикатор риска
- Включите в договоры с хостинг-провайдерами условия о компенсации в случае конфискации инфраструктуры правоохранительными органами
Операция FIOD задаёт новый стандарт правоприменения в сфере хостинг-инфраструктуры, используемой для кибератак: конфискация 800 серверов с одновременным пресечением попытки обхода санкций через подставные компании. Организациям, размещающим критически важные сервисы у небольших провайдеров, следует немедленно провести аудит своих хостинг-партнёров на предмет связей с подсанкционными структурами и убедиться в наличии актуальных внешних резервных копий, не зависящих от инфраструктуры основного провайдера.
