Когда инфраструктура хостинга превращается в оружие: уроки голландского кейса

На прошлой неделе голландские следователи по финансовым преступлениям провели операцию, которая заставила задуматься весь рынок хостинга и дата-центров. Они изъяли 800 серверов и арестовали двух человек. Под удар попала целая инфраструктура, которую, по версии следствия, использовали для кибератак и информационных кампаний, связанных с Россией и Беларусью.

На первый взгляд — обычная новость про киберпреступность. Но за ней стоит важный вопрос: насколько хостинг-провайдеры и владельцы инфраструктуры несут ответственность за то, что происходит на их серверах.

Как всё было устроено

Схема оказалась сложнее, чем обычный случай злоупотребления. Следователи выявили несколько связанных между собой компаний.

Stark Industries запустили буквально за недели до начала полномасштабного вторжения в Украину. После того как в мае 2023 года компания попала под санкции ЕС, инфраструктуру перевели на новую голландскую фирму — WorkTitans B.V., работавшую под брендом THE.Hosting.

Физический уровень обеспечивал Mirhosting из Алмере. Именно через него шло подключение к крупным точкам обмена трафиком в Амстердаме и Франкфурте. Это позволяло трафику «растворяться» в европейской сети.

Каждый уровень цепочки мог ссылаться на другого: «мы просто сдаём сервера», «мы просто даём подключение». Такая структура давала возможность обходить санкции и затрудняла расследование.

Проблема прозрачности

Главный вывод для отрасли — у многих провайдеров до сих пор нет реального понимания, что именно происходит на их инфраструктуре. Большинство полагается только на жалобы от abuse-команд. Но если клиент хорошо финансируется и технически подкован, он может годами использовать сервера для DDoS-атак или координации кампаний, оставаясь в рамках «легитимного» использования.

По данным следствия, инфраструктура WorkTitans была связана с группой NoName057(16) — прокси-российской хакерской командой, известной мощными DDoS-атаками на критическую инфраструктуру.

Обход санкций через инфраструктуру

Отдельный момент — то, как легко обошли санкции. Компанию добавили в санкционный список, а она просто сменила юрлицо и переместила активы. Это показывает: санкции работают только тогда, когда их технически невозможно обойти.

Для регуляторов и провайдеров это означает необходимость более жёстких мер:

• Проверка клиентов на этапе подключения (KYC)
• Углублённая проверка тех, кто размещает оборудование в ключевых точках обмена трафиком
• Автоматическая проверка клиентов по санкционным спискам
• Прозрачная отчётность по abuse-запросам перед регуляторами

Что делать хостинг-провайдерам

Если вы предоставляете shared-хостинг, VPS, dedicated-сервера или облачные услуги, этот кейс стоит учесть в своей работе.

Ускорьте реакцию на abuse
Жалобы о DDoS-инфраструктуре или координации атак нельзя обрабатывать за 48 часов. В таких случаях счёт идёт на минуты.

Смотрите глубже за метриками
Логи и аналитика помогают не только оптимизировать производительность. Они показывают аномалии в трафике, подозрительное использование портов, резкие всплески исходящего трафика.

Выбирайте партнёров тщательно
Colocation-провайдеры, транзитные операторы и точки обмена трафиком — это часть вашей цепочки ответственности. Один слабый участник может поставить под удар всю инфраструктуру.

Будьте готовы к проверкам
Злоумышленники сознательно выбирают юрисдикции, где контроль слабее. Это значит, что нужно быть готовым к вопросам от правоохранителей и уметь быстро предоставлять информацию.

Инфраструктура как поле боя

Случай в Нидерландах — часть общей тенденции 2024 года. Кибератаки и информационные операции всё чаще используют обычную хостинг-инфраструктуру. Провайдеры уже не могут считать себя нейтральной стороной.

Это не значит, что каждая компания должна становиться частью правоохранительной системы. Но это значит, что нужно понимать, за что вы отвечаете, и быть готовыми действовать быстро при обнаружении злоупотреблений.

Что дальше

Голландская операция прошла на высоком уровне координации. Вопрос в том, станет ли это исключением или новой нормой. С ужесточением санкций против российских и белорусских структур можно ожидать новых изъятий и давления на хостинг-компании.

Для добросовестных провайдеров это скорее плюс: меньше недобросовестных игроков, чище рынок, проще работать с клиентами. Для клиентов — меньше риска, что их инфраструктуру внезапно отключат.

В любом случае, пора перестать считать, что «мы просто сдаём сервера». Ответственность за то, что на них происходит, уже не избежать.