Når hosting-infrastruktur bliver et våben: Læren fra den hollandske serverbeslaglæggelse

Sidste uge slog hollandske myndigheder til mod en omfattende hosting-operation. 800 servere blev beslaglagt, to personer anholdt, og en velorganiseret infrastruktur, der angiveligt støttede cyberangreb og desinformationskampagner med tilknytning til Rusland og Belarus, blev lukket ned.

Sagen handler ikke kun om endnu en sikkerhedsoverskrift. Den viser, hvor hurtigt hosting-virksomheder kan blive fanget i geopolitisk konflikt – enten bevidst eller uden at ane uråd.

Et lagdelt setup designet til at skjule sig

Det tekniske setup var bemærkelsesværdigt gennemtænkt. Bag operationen stod flere lag af selskaber og tjenester.

Først oprettede man Stark Industries blot uger før Ruslands invasion af Ukraine. Da sanktionerne ramte i maj 2023, flyttede man hurtigt infrastrukturen til et nyt hollandsk selskab kaldet WorkTitans B.V., der opererede under navnet THE.Hosting.

Samtidig stod Mirhosting i Almere for den fysiske del – serverplacering, netværksforbindelse og adgang til internetudvekslingspunkter i Amsterdam og Frankfurt. På den måde kunne trafikken glide ind i Europa uden at afsløre sit oprindelige ophav.

Hvert lag i kæden kunne pege på det næste og påstå, at de blot leverede almindelige tjenester. Det skabte en form for ansvarsfraskrivelse, der var svær at gennemskue.

Branchens blinde vinkel

For almindelige hosting-udbydere er den største udfordring, at man sjældent ser, hvad der reelt foregår på serverne. De fleste stoler på abuse-rapporter fra kunder eller tredjeparter.

Men hvis en aktør er både teknisk dygtig og vel-finansieret, kan de drive angrebsinfrastruktur bag en facade af legitimitet. I dette tilfælde blev infrastrukturen koblet til hacktivist-gruppen NoName057(16), der stod bag omfattende DDoS-angreb mod kritisk infrastruktur.

Sanktioner er ikke nok

Sagen understreger, at sanktioner kan omgås, hvis infrastrukturen blot skifter navn og placering. Det er ikke tilstrækkeligt at have lister over forbudte aktører, hvis ikke virksomhederne aktivt tjekker, hvem de har med at gøre.

For at lukke hullet kræves bedre KYC-procedurer, grundigere kontrol ved onboarding, og at sanktionslister integreres direkte i systemerne. Derudover bør der være større gennemsigtighed i, hvordan abuse-henvendelser håndteres.

Hvad betyder det for dig som hosting-udbyder?

Hvis du driver en hosting-platform – uanset om det er shared hosting, VPS eller dedikerede servere – bør du overveje følgende:

Styrk din abuse-håndtering
Klager om DDoS eller koordinerede angreb skal håndteres med det samme – ikke inden for 48 timer.

Få bedre indsigt i din infrastruktur
Overvåg trafikmønstre, portbrug og afvigende adfærd hos kunder. Det handler ikke kun om performance, men om at opdage misbrug tidligt.

Vælg dine partnere med omhu
Colocation- og transit-leverandører er en del af din risikoprofil. En svag aktør i kæden kan kompromittere hele setuppet.

Vær forberedt på at blive valgt som mål
Kriminelle aktører søger mod jurisdiktioner, de mener er mindre opmærksomme. Det kræver både bedre sikkerhed og åbenhed over for myndighederne.

Infrastruktur som kampplads

Sagen er ikke enestående. Den passer ind i et større billede, hvor internetinfrastruktur bruges som redskab i konflikter. Hosting-udbydere er ikke neutrale aktører længere – de er en del af forsvarslinjen.

Det betyder ikke, at alle skal spille politi. Men det betyder, at man har et ansvar for det, der foregår på ens servere, og at man skal handle hurtigt, når noget er galt.

Konsekvenserne fremadrettet

Den hollandske aktion var grundig og velkoordineret. Spørgsmålet er nu, om det er begyndelsen på en ny praksis, hvor myndighederne går mere systematisk til værks mod misbrug af infrastruktur.

For seriøse aktører i branchen er det faktisk positivt. Bedre kontrol betyder færre kriminelle konkurrenter og større tillid til de virksomheder, der gør tingene rigtigt. For kunderne betyder det mindre risiko for, at deres hosting forsvinder fra den ene dag til den anden.

Tiden, hvor man kunne sige "vi hoster bare bits", er forbi.