Нидерланды конфисковали 800 серверов связанной с Россией хостинг-сети

Арестованы владельцы хостингов, инфраструктура которых использовалась для кибератак и кампаний влияния России в ЕС

2026-06-03 GIGATAP Team #security
#Netherlands#Russia#cybercrime

Конфискация затрагивает инфраструктуру, а не только подозреваемых#

Голландские власти арестовали совладельцев двух связанных хостинговых компаний и изъяли около 800 серверов, сообщает Krebs on Security. Обвинение прямое: компании управляли инфраструктурой, использованной Россией для кибератак, операций влияния и кампаний дезинформации в ЕС.

Имена важны меньше, чем схема. Krebs связывает аресты с расследованием 2025 года, как эти хостинги перехватили техническую инфраструктуру Stark Industries Solutions, провайдера, санкционированного ЕС в прошлом году. ЕС описал Stark как частую платформу для активности, связанной с российскими разведслужбами.

Это пример непрерывности. Проблема не в том, что один плохой провайдер закрылся, а в том, что инфраструктура санкционированного оператора мигрировала или перешла в связанные компании, сохранив часть экосистемы.

Для защитников вывод практичный: санкции и изъятия эффективны только при последующем картировании собственности, клиентов, маршрутизации, IP-пространства, реселлерских связей и операционного контроля. Злоупотребления хостингом выживают, перемещаясь боком до того, как общественность получит полную картину.

Почему хостинг провайдеры сложная цель#

Поставщики инфраструктуры работают в серой зоне. Сервер может содержать обычные нагрузки клиентов, криминальные инструменты, прокси, C2-узлы, фишинг-наборы, панели ботнетов, фейковые медиа или инфраструктуру влияния. Машина редко указывает, какая роль решающая.

Из-за этой неопределенности случаи с хостингом сложнее обычных историй с малварью. Провайдер может ссылаться на злоупотребление клиентов, слабый контроль при подключении, непрозрачный ресейл или ограниченную видимость. Следователям нужны доказательства знания, контроля, повторной терпимости, прямого содействия или координации.

Krebs сообщает, что действие голландских властей включало совладельцев двух связанных компаний и изъятие сотен серверов. Это указывает, что инфраструктурный слой считался достаточно центральным, чтобы его физически или административно нарушить, а не просто блокировать на периферии.

Связь со Stark Industries как сигнал#

Ключевая деталь — связь с Stark Industries Solutions. Krebs ранее писал, что компании, которые стали целью, взяли под контроль инфраструктуру Stark. Stark уже была санкционирована ЕС как повторяющаяся платформа для операций российской разведки.

Преемственность важна. Плохая инфраструктура не исчезает с санкциями или разоблачением. Ее могут перезапустить под другим сетевым именем, управлять новой юридической сущностью, продать соседнему оператору или сохранить через тех же людей и клиентов с чистой документацией.

Защитникам стоит учитывать, что санкционные списки — это не статичные блокировки. Санкционированное имя — лишь ориентир. Важнее: куда переместились IP-диапазоны, кто генерировал маршруты, какие AS изменили поведение, какие домены переадресованы, а какие кластеры злоупотреблений остались.

Если дело в Нидерландах строится вокруг инфраструктуры Stark, это пример зрелого подхода правоохранительных органов: они отслеживали техническую «жизнь после» узла, а не только называли плохой сервер.

Почему обычным компаниям стоит обратить внимание#

Это не только история государств. Инфраструктура, используемая для шпионажа и влияния, часто пересекается с тем, что используют для кражи учетных данных, хостинга малвари, спама, прокси-абуза и фишинга. Те же условия, что помогают операторам разведки, помогают и финансово мотивированным злоумышленникам.

Европейским компаниям стоит проверять, что локальный хостинг не гарантирует чистоту. Злоупотребляемая инфраструктура может находиться в привычных юрисдикциях, использовать обычные провайдеры и сливаться с нормальным трафиком, пока кампания не выявит её.

Для команд безопасности ценность не в панике, а в проверке: проверьте недавние соединения с сетями, доменами или хостингами, упомянутыми в Krebs или сообщениях голландских властей. Не ограничивайтесь именами компаний. Анализируйте историю ASN, изменения IP-владельцев, пассивный DNS, повторное использование TLS-сертификатов, повторяющиеся инфраструктурные отпечатки.

Организациям СМИ, НКО и связанным с выборами важно учитывать инфраструктуру влияния: она может поддерживать фейковые сайты, бот-трафик, учетные записи, сервисы усиления или операции по краже данных у людей, управляющих публичными нарративами.

Что проверить#

  • Проверьте недавние соединения с сетями и доменами, упомянутыми в отчете Krebs или голландских властей.
  • Обновите маршрутизацию и правила BGP, учитывая изменения AS и IP, связанные с санкционированной инфраструктурой.
  • Настройте мониторинг повторного использования TLS-сертификатов и пассивного DNS, чтобы выявлять перезапущенные узлы.
  • Проведите аудит инфраструктуры на предмет пересечения с бывшими клиентами Stark Industries.
  • Мониторьте логи и жалобы на хостинг-провайдеров, которые могли использоваться для злоупотреблений.

Ограничения информации#

Материалы источника не устанавливают полный технический список 800 серверов и не доказывают активность всей инфраструктуры на момент конфискации. Не все клиенты пострадавших хостингов были злоумышленниками. Массовые изъятия могут затронуть общие среды. До публикации индикаторов или судебных документов широкая атрибуция по провайдеру не оправдана.

Корректное утверждение: голландские власти нарушили крупную хостинговую инфраструктуру и арестовали двух операторов, которых обвиняют в содействии российским кибератакам, операциям влияния и дезинформации в ЕС. Krebs связывает случай с ранее санкционированной Stark Industries Solutions и общей проблемой выживания враждебной инфраструктуры через связанные компании.

На что смотреть дальше#

Следующие доказательства будут техническими. Команды безопасности должны отслеживать опубликованные индикаторы от голландских властей, органов ЕС, надежных инцидент-респондеров и последующие репортажи Krebs. Операторы сетей должны наблюдать за BGP-движениями по указанным AS и IP. Abuse-отделы сохраняют последние жалобы и логи, если они актуальны для расследований.

Наиболее полезным результатом будет карта инфраструктуры: кто контролировал что, как активы Stark переходили, какие сервисы были активны и от каких кампаний зависели конфискованные системы.

Урок виден уже сейчас: контроль за инфраструктурой требует отслеживания непрерывности, а не только бренда. Санкционированный провайдер может исчезнуть из пресс-релиза, но выжить в таблицах маршрутизации, панелях клиентов и смежных юридических оболочках. Настоящая очистка начинается там.