Когато инфраструктурата за хостинг се превръща в оръжие: поуки от холандската акция

Миналата седмица холандските финансови следователи (FIOD) проведоха операция, която трябва да накара всеки доставчик на хостинг и инфраструктура да се замисли сериозно. Бяха иззети 800 сървъра, арестувани двама души и беше разбито цялостно хостинг решение, свързано с кибератаки, дезинформация и намеса в полза на руски и беларуски интереси.

На пръв поглед става дума за поредния случай от света на киберсигурността. Всъщност обаче тук се крият важни въпроси за отговорността на инфраструктурните компании, заобикалянето на санкции и колко лесно един доставчик може да се окаже част от геополитически конфликт – независимо дали съзнателно или не.

Как беше организирана инфраструктурата

Случаят е интересен заради сложната структура, която са използвали заподозрените. Не става въпрос за една компания, която работи от един дата център. Вместо това разследването разкри няколко слоя:

Stark Industries е създадена като основен доставчик на хостинг само седмици преди руската инвазия в Украйна през 2022 г. След налагането на санкции през май 2023 г. операцията просто се премества – инфраструктурата преминава към новосъздадената холандска фирма WorkTitans B.V., която работи под бранда THE.Hosting.

Mirhosting (с база в Алмере) осигурява физическата част: колокация на сървъри, свързаност и достъп до големите интернет борси в Амстердам и Франкфурт. Така трафикът може да преминава през Европа, без да се вижда истинският му произход.

Тази структура дава възможност за „правдоподобно отричане“ – всеки участник може да твърди, че просто предоставя услугата си, без да знае за какво се използва.

Проблемът с видимостта

За сериозните хостинг компании като NameOcean и техните конкуренти този случай поставя важен въпрос: доколко добре знаем какво се случва на нашите сървъри?

Повечето доставчици разчитат на сигнали за злоупотреба и оплаквания от потребители. Ако обаче клиентът е достатъчно организиран и разполага с ресурси, може да поддържа инфраструктура за DDoS атаки или координация на кибероперации, без да се забелязва нищо необичайно. Според разследването инфраструктурата на WorkTitans е била свързана с атаките на хактивистката група NoName057(16) – про-руска формация, известна с масирани DDoS атаки срещу критична инфраструктура.

Заобикаляне на санкции

Важна част от случая е, че Stark Industries попада в списъка на ЕС със санкции през май 2023 г. Вместо да спре дейност, операцията просто сменя името и премества активите. Това показва, че санкциите нямат ефект, ако има лесен технически начин да бъдат заобиколени.

За да се предотврати подобно поведение, са нужни:

• По-строги изисквания за KYC при хостинг и колокационни услуги
• Задълбочена проверка на клиенти, особено при достъп до големи интернет борси
• Интегриране на санкционните списъци в процеса на регистрация
• Прозрачност при докладване на злоупотреби към съответните органи

Какво трябва да направят хостинг компаниите

Ако управлявате легитимна платформа – независимо дали предлагате споделен хостинг, VPS, dedicated сървъри или облачни услуги – този случай налага промени в подхода ви:

1. Създайте ясни процедури за реакция при злоупотреба
Mirhosting твърди, че е реагирала „бързо“ на сигнали. Въпросът е колко бързо. При оплаквания за DDoS инфраструктура или координация на атаки забавянето от 48 часа е неприемливо – трябва да се действа незабавно.

2. Следете инфраструктурата си в дълбочина
Анализът на трафика и логовете не е само за оптимизация. Трябва да наблюдавате:

• Необичайни модели на трафик
• Използване на портове и протоколи
• Поведение на клиенти, което не съответства на заявената им дейност
• Резки скокове в изходящия трафик към известни цели на атаки

3. Избирайте внимателно партньорите си нагоре по веригата
Колокационните доставчици, транзитните мрежи и интернет борсите трябва да бъдат надеждни. Случаят с Mirhosting показва как един проблемен участник може да компрометира цялата верига.

4. Бъдете готови да станете мишена
Злонамерени актьори често избират юрисдикции, които смятат за по-слабо контролирани. Това изисква по-добра оперативна сигурност и готовност за сътрудничество с органите при съмнителна дейност.

Инфраструктурата вече не е неутрална

Тази акция е част от по-широка тенденция през 2024 г.: превръщането на интернет инфраструктурата в инструмент за геополитическа борба. Кибератаките и дезинформационните кампании вече не са просто технически проблеми – те са част от държавни стратегии.

Доставчиците на хостинг, облачни услуги и инфраструктура вече не могат да се смятат за неутрални. Независимо дали ни харесва, ние сме на първа линия в информационната сигурност и националната защита.

Това не означава, че всеки доставчик трябва да действа като полиция. Но означава, че трябва да поемем отговорност за това, което се случва на нашата инфраструктура, и да реагираме решително при злоупотреба.

Какво следва

Холандската операция беше добре координирана и обхвана няколко агенции и юрисдикции. Въпросът е дали това е изолиран успех или началото на нова практика. Със засилването на санкциите срещу руски и беларуски субекти вероятно ще видим още изземвания, арести и натиск върху хостинг компаниите да докажат, че не участват в държавно спонсорирани дейности.

За легитимните доставчици това е положително развитие. По-строгият контрол означава по-чист пазар, по-малко криминални конкуренти и възможност да предлагате услугите си с увереност.

За клиентите това означава по-малко риск инфраструктурата им да бъде иззета или блокирана внезапно.

За всички в индустрията: време е да приемем сериозно превенцията на злоупотреби и спазването на санкциите. Дните, в които „ние просто хостваме битове и байтове“, са отминали.