Служба розслідування фінансових злочинів Нідерландів (FIOD) провела масштабну операцію з вилучення понад 800 серверів і затримала двох підозрюваних у порушенні санкційного законодавства ЄС. За версією слідства, конфіскована хостинг-інфраструктура використовувалася для проведення кібератак і дезінформаційних кампаній проти європейських держав. Операція зачепила дата-центри в кількох містах Нідерландів і призвела до масштабних збоїв у клієнтів низки хостинг-провайдерів, частина з яких заявила про повну й незворотну втрату інфраструктури в чотирьох країнах.
Хронологія операції та затримання
Операція стартувала 18 травня 2025 року й охопила дата-центри в Дронтені та Схіпхол-Рейку, а також обшуки пройшли в Енсхеде та Алмере. Було затримано двох осіб: 57-річного мешканця Амстердама — директора хостингової компанії, і 39-річного мешканця Гааги — керівника провайдера, який надавав першій компанії мережеву інфраструктуру.
FIOD зазначає, що затримані «опосередковано надавали економічні ресурси» організаціям, які перебувають під санкціями Євросоюзу. Розслідування стосується хостингової компанії, заснованої 10 лютого 2022 року — за два тижні до початку повномасштабного вторгнення Росії в Україну. За версією слідства, інфраструктура цієї компанії використовувалась для «дестабілізаційної діяльності проти ЄС», включно з кібератаками та поширенням дезінформації.
Санкції та спроба обходу
20 травня 2025 року Рада ЄС розширила санкційні списки, додавши 21 фізичну особу та 6 організацій у відповідь на російські гібридні загрози. За даними FIOD, після внесення хостингової компанії до санкційних списків значна частина інфраструктури була переведена на нову нідерландську фірму, яку слідство вважає підставною структурою для обходу санкцій. Саме ця спроба обходу, вочевидь, і стала підставою для активних дій правоохоронних органів.
Цей випадок демонструє важливий прецедент: європейська влада готова переслідувати не лише безпосередньо підсанкційні структури, а й посередників, які забезпечують безперервність їхньої роботи через створення юридичних прикриттів.
Імовірні компанії та зв’язок із загрозами
Хоча FIOD офіційно не розкриває назви компаній, нідерландське видання de Volkskrant провело власне розслідування й указало, що, ймовірно, йдеться про компанії Stark Industries, WorkTitans та Mirhosting. За даними журналістів, інфраструктура цих компаній імовірно використовувалася для транзиту трафіку проросійського хактивістського угруповання NoName057(16), відомого DDoS-атаками на європейські державні структури й організації.
Як повідомляється, після запровадження санкцій проти Stark Industries частина інфраструктури та простору IP-адрес перейшла до нідерландської компанії WorkTitans, що працювала під брендом THE.Hosting. Mirhosting, за даними розслідування, забезпечувала розміщення серверів і підключення до великих європейських точок обміну трафіком (IXP).
Важливо наголосити: ідентифікація конкретних компаній і зв’язок інфраструктури з NoName057(16) ґрунтуються на журналістському розслідуванні, а не на офіційних заявах FIOD. Атрибуція потребує додаткового підтвердження.
Представники Mirhosting заявили de Volkskrant, що свідомо не підтримували протиправну діяльність і реагували на скарги в міру їх надходження. WorkTitans на запити журналістів не відповіли.
Наслідки для клієнтів
Операція FIOD спричинила серйозні наслідки для користувачів пов’язаних хостинг-сервісів. Починаючи з 19 травня, клієнти THE.Hosting, UFO.Hosting і GEO.Hosting почали повідомляти про масові збої: недоступність VPS, відмову панелей керування та білінгових систем, відсутність відповідей служби технічної підтримки.
Пізніше клієнти отримали повідомлення про «масштабний технічний інцидент», у яких йшлося, що інфраструктура в США, Німеччині, Нідерландах і Австрії «повністю втрачена й не підлягає відновленню». Хостери пообіцяли автоматичну видачу нових серверів в інших локаціях і компенсацію, однак, за повідомленнями користувачів, частина клієнтів так і не отримала заміну, зіткнувшись із втратою даних і проблемами з поверненням коштів.
Ці відомості ґрунтуються на користувацьких звітах і потребують обережної оцінки, проте масштаб скарг вказує на реальність проблеми.
Оцінка впливу та висновки для галузі
Ця операція зачіпає кілька рівнів:
- Правозастосування санкцій: уперше в межах санкційного режиму ЄС проти російських гібридних загроз проведено настільки масштабну конфіскацію хостинг-інфраструктури з одночасним затриманням її операторів
- Боротьба з bulletproof hosting: операція демонструє, що європейські юрисдикції здатні оперативно реагувати на переведення інфраструктури між підставними компаніями
- Побічна шкода: легальні клієнти хостинг-провайдерів, не пов’язані з протиправною діяльністю, зазнали реальних втрат — від даних до фінансових коштів
Рекомендації
Для організацій, які користуються послугами маловідомих хостинг-провайдерів, особливо з привабливо низькими цінами:
- Перевіряйте юридичну історію провайдера: дата реєстрації, зміна власників, зв’язок із підсанкційними структурами — усе це доступно через публічні реєстри та WHOIS
- Забезпечте географічну диверсифікацію резервних копій: цей інцидент показав, що конфіскація може одночасно зачепити інфраструктуру в кількох країнах
- Перевірте поточні ASN і IP-блоки вашого провайдера: міграція простору IP-адрес від підсанкційних компаній до нових юросіб — прямий індикатор ризику
- Включіть до договорів із хостинг-провайдерами умови про компенсацію у разі конфіскації інфраструктури правоохоронними органами
Операція FIOD задає новий стандарт правозастосування в сфері хостинг-інфраструктури, яка використовується для кібератак: конфіскація 800 серверів з одночасним припиненням спроби обходу санкцій через підставні компанії. Організаціям, що розміщують критично важливі сервіси в невеликих провайдерів, варто негайно провести аудит своїх хостинг-партнерів на предмет зв’язків із підсанкційними структурами та переконатися в наявності актуальних зовнішніх резервних копій, які не залежать від інфраструктури основного провайдера.
