Když se hosting stává zbraní: Co nám říká nizozemský zásah proti serverům

Minulý týden provedla nizozemská finanční policie FIOD rozsáhlou operaci, která by měla varovat každého poskytovatele hostingu. Zabavila 800 serverů, zadržela dvě osoby a rozložila infrastrukturu podezřelou z podpory kybernetických útoků a dezinformačních kampaní spojených s Ruskem a Běloruskem.

Na první pohled jde o další bezpečnostní incident. Při bližším pohledu ale odhaluje zásadní otázky o odpovědnosti poskytovatelů infrastruktury a o tom, jak snadno se může hostingová firma stát součástí geopolitického konfliktu.

Vícevrstvá infrastruktura

Případ je zajímavý především svou technickou propracovaností. Nešlo o jednu společnost, která by provozovala servery z jednoho datacentra. Vyšetřovatelé odhalili promyšlenou strukturu.

Stark Industries vznikla jen několik týdnů před ruskou invazí na Ukrajinu v roce 2022. Po uvalení sankcí v květnu 2023 převedla infrastrukturu na nově založenou nizozemskou firmu WorkTitans B.V., která působila pod značkou THE.Hosting.

Fyzickou vrstvu zajišťovala společnost Mirhosting z Almere. Poskytovala kolokaci serverů a připojení k internetovým uzlům v Amsterdamu a Frankfurtu. Tím umožnila, aby provoz vypadal jako běžný evropský traffic.

Každá vrstva poskytovala možnost popřít odpovědnost. Hostingová firma tvrdí, že jen pronajímá servery. Poskytovatel připojení říká, že jen zajišťuje konektivitu. Všichni ukazují prstem na někoho jiného.

Problém s viditelností

Pro běžné poskytovatele hostingu, jako je NameOcean, je největším rizikem nedostatečný přehled o tom, co se na jejich serverech děje.

Většina firem spoléhá na hlášení zneužití od uživatelů. Pokud je ale klient dostatečně sofistikovaný a finančně zajištěný, dokáže provozovat infrastrukturu pro DDoS útoky nebo dezinformační kampaně, aniž by to bylo na první pohled patrné.

Vyšetřování spojilo infrastrukturu WorkTitans s útoky hacktivistické skupiny NoName057(16), která cílí na kritickou infrastrukturu. To už není náhodné zneužití – jde o cílené zneužití infrastruktury k útokům.

Obcházení sankcí

Důležitým aspektem případu je zmínka o sankcích. Stark Industries byla v květnu 2023 zařazena na sankční seznam EU. Místo ukončení činnosti firma jednoduše změnila strukturu a přesunula aktiva.

To ukazuje, že sankce samy o sobě nestačí, pokud existuje jednoduchý technický způsob, jak je obejít. Řešení vyžaduje:

• Přísnější KYC postupy při poskytování hostingu a kolokace
• Důkladnější prověřování poskytovatelů infrastruktury s přístupem k významným internetovým uzlům
• Integraci sankčních seznamů přímo do systémů pro přijímání nových zákazníků
• Povinné a transparentní hlášení zneužití příslušným úřadům

Co to znamená pro poskytovatele hostingu

Pokud provozujete hosting – ať už jde o sdílené servery, VPS, dedikované servery nebo cloudovou infrastrukturu – měl by tento případ ovlivnit vaše bezpečnostní postupy:

1. Zlepšete procesy pro řešení zneužití
Mirhosting tvrdila, že na stížnosti reagovala „rychle“. Při podezření z DDoS infrastruktury nebo koordinace útoků ale nestačí reakce do 48 hodin. Takové případy vyžadují okamžité odstavení.

2. Sledujte provoz na infrastruktuře
Analytika a logy nejsou jen nástrojem pro optimalizaci výkonu. Potřebujete přehled o:

• Vzorcích provozu a anomáliích
• Využití portů a protokolů
• Chování zákazníků, které se liší od deklarovaného účelu
• Náhlých nárůstech odchozího provozu směrem k známým cílům útoků

3. Vyberte si spolehlivé partnery
Vaši poskytovatelé kolokace, transit a připojení k internetovým uzlům musí být důvěryhodní. Případ Mirhosting ukazuje, jak může jediný problematický článek v řetězci ohrozit celý ekosystém.

4. Počítejte s tím, že se stanete terčem
Útočníci často volí poskytovatele v jurisdikcích, které považují za méně ostražité. To znamená nejen lepší interní bezpečnost, ale také otevřenou komunikaci s úřady při podezřelých aktivitách.

Infrastruktura jako součást konfliktu

Tento zásah není ojedinělým případem. V roce 2024 vidíme rostoucí trend, kdy se internetová infrastruktura stává nástrojem kybernetických útoků a dezinformačních kampaní. Hostingové firmy už nejsou neutrální poskytovatelé služeb – ať se nám to líbí, nebo ne, stojí na frontové linii.

To neznamená, že se každý poskytovatel musí stát policejní jednotkou. Znamená to ale nést odpovědnost za to, co se děje na jeho infrastruktuře, a být připraven jednat rozhodně při zjištění zneužití.

Co bude dál

Nizozemská operace byla dobře koordinovaná napříč více úřady a jurisdikcemi. Otázkou zůstává, zda jde o ojedinělý úspěch, nebo o začátek nového přístupu k vymáhání pravidel. S pokračujícím zpřísňováním sankcí proti ruským a běloruským subjektům pravděpodobně uvidíme další zabavování infrastruktury a větší tlak na hostingové firmy, aby prokázaly, že nejsou zapleteny do státem podporované činnosti.

Pro seriózní poskytovatele hostingu to znamená čistší prostředí, méně kriminálních konkurentů a možnost nabízet služby s větší důvěryhodností. Pro zákazníky to znamená menší riziko, že jejich infrastruktura bude ze dne na den odstavená.

Pro celý obor je čas brát prevenci zneužití a dodržování sankcí vážně. Doba, kdy stačilo říct „my jen hostujeme bity a bajty“, je pryč.