Kun infrastruktuuri kääntyy itseään vastaan: Stark Industriesin romahdus

Viimeaikaiset kyberrikollisuuden oikeudenkäynnit ovat osoittaneet selvästi, että uusi nimi ei muuta toiminnan luonnetta. Toukokuussa 2026 hollantilaiset talousrikostutkijat tekivät ratsioita, jotka paljastivat Stark Industries Solutions Ltd.:n todellisen luonteen. Yritys oli ollut vain kulissi bulletproof-hosting-palvelulle.

Tapaus kiinnostaa erityisesti hosting- ja domain-alaa, koska se paljastaa, miten syvälle rikolliset ovat valmiita menemään peittääkseen toimintansa – ja miten nopeasti tuo suoja murtuu, kun viranomaiset puuttuvat asiaan kunnolla.

Kulissiyhtiön rakenne

Stark Industries Solutions Ltd. perustettiin helmikuussa 2022, vain pari viikkoa ennen Venäjän hyökkäystä Ukrainaan. Ajankohta herätti heti epäilyksiä. Yrityksen tarkoitus oli tarjota "neutraali nimi" jälleenmyyjille, jotta IP-osoitteet eivät johtaisi takaisin PQ Hostingiin – Neculiti-veljesten aikaisempaan hankkeeseen.

Veljekset Ivan ja Iurie Neculiti ovat kotoisin Transnistriasta, Moldovan Venäjä-mielisestä alueesta. Heidän toimintansa juontaa juurensa ainakin vuoteen 2008. Ivan oli tunnettu myös nimimerkillä "dfyz" venäläisillä kyberrikosfoorumeilla, jossa hän myi bulletproof-palvelimia – infrastruktuuria, joka oli tarkoitettu laittoman sisällön isännöintiin ilman vastuuta.

Teknisesti kiinnostavaa on se, miten Neculitit rakensivat toimintaa. He eivät hankkineet uutta laitteistoa, vaan käyttivät PQ Hostingin olemassa olevaa verkkoa, jolla oli huipussaan yli 120 000 asiakasta 38 maassa. Stark Industries toimi vain välikerroksena, joka piilotti omistussuhteet mutta piti fyysisen infrastruktuurin ennallaan.

Kaksi ASN:ää paljasti kaiken

Tapauksen keskeinen opetus hosting-alalle on yksinkertainen: verkon sormenjäljet eivät valehtele.

Kun EU asetti Stark Industriesin pakotelistalle toukokuussa 2025, veljekset siirsivät toiminnan uuteen hollantilaiseen yhtiöön nimeltä WorkTitans B.V., joka toimi brändillä "THE.Hosting". Uusi yritys, uusi sivusto, uusi nimi.

He eivät kuitenkaan ymmärtäneet, että JA4T-fingerprinting paljastaa verkkoliikenteen ja laitteiston ominaispiirteet autonomisten järjestelmien välillä. Tutkijat pystyivät yhdistämään Starkin ja WorkTitansin ASN:t samoihin fyysisiin palvelimiin. Uudelleenbrändäys oli pelkkä paperiharjoitus – laitteisto ja infrastruktuuri pysyivät samoina.

Tämä on tärkeä huomio kaikille hosting-palveluntarjoajille: pelkkä uuden yrityksen rekisteröinti ei riitä piilottamaan infrastruktuuria, kun verkkoanalyysi pystyy tunnistamaan saman laitteiston eri nimillä.

Mitä palvelimilla oikeasti pyöri?

Takavarikoidut 800 palvelinta eivät isännöineet tavallisia verkkosivuja. Niitä käytettiin useiden kyberrikollisten ja valtiollisten toimijoiden hyväksi:

• NoName057(16) – venäläiset DDoS-hyökkäykset
• Sandworm – Venäjän GRU:n kyber-yksikkö
• Callisto Group – venäläiseen tiedusteluun linkitetty ryhmä
• FIN7 – yksi aktiivisimmista rahoituslaitoksia vastaan hyökkäävistä rikollisryhmistä
• Doppelganger-kampanja – disinformaatiokampanja, joka levitti Venäjä-mielistä valeuutista Euroopassa

CORRECTIVin tutkimus paljasti, että Neculitien infrastruktuuri Hollannissa toimi disinformaatiokampanjan teknisenä selkärankana. Kyse ei ollut pelkästä rikollisesta hostingista, vaan infrastruktuurista, joka tuki tietosotaa Euroopan kansalaisia vastaan.

Oikeudellinen ennakkotapaus

Pidätykset ja syytteet hollantilaisen pakotelain nojalla luovat uuden ennakkotapauksen: infrastruktuurin tarjoaminen pakotelistalla oleville tahoille on rikos, ei harmaa alue.

Pidätettyinä oli 57-vuotias yritysjohtaja ja 39-vuotias verkkoyhteyksistä vastannut henkilö. Kolmas pidätys liittyi Mirhostingiin. Hollantilaiset syyttäjät näkevät infrastruktuurin tarjoamisen suoraan vastuullisena toimintana.

Tämä tarkoittaa hosting-alalle, että asiakkaan taustan tarkistaminen ei ole enää vapaaehtoista. KYC-menettelyt ja pakotelistojen tarkistus ovat välttämättömiä, jotta lailliset toimijat erottuvat rikollisverkostoista.

Mitä hosting-yritysten kannattaa oppia

Stark Industriesin tapaus tarjoaa hosting-alalle kolme keskeistä opetusta:

1. Tekninen osaaminen ei korvaa lakien noudattamista. Neculitit hallitsivat DNS:n, IP-allokoinnin ja ASN-hallinnan. Se ei suojannut heitä, kun viranomaiset käyttivät moderneja forensisia työkaluja.

2. Uudelleenbrändäys ilman infrastruktuurin siirtoa on turhaa. Yritys- tai domain-nimen vaihto ei muuta palvelimien fyysistä todellisuutta. Verkon forensiikka tunnistaa saman laitteiston eri ASNeissa. Lailliset toimijat eivät yritä tällaisia temppuja.

3. Toimintaympäristö kiristyy. Hollanti on tehnyt selväksi, ettei bulletproof-hosting ole tervetullutta. EU:ssa toimivien palveluntarjoajien on varauduttava tiukempaan valvontaan.

Laajempi kuva

Tapaus osoittaa, miten kyberrikollisuuden tutkinta yhdistää useita menetelmiä: talousrikostutkintaa, verkkoforensiikkaa, avoimen lähdekoodin tiedustelua ja perinteistä poliisityötä. Ratsia ei ollut sattuma, vaan vuoden kestäneen valvonnan tulos.

Rikolliset olettavat usein, että he voivat piiloutua eri maiden lainkäyttöalueiden taakse. Stark Industriesin tapaus osoittaa, että tämä strategia ei enää toimi. Takavarikoidut 800 palvelinta edustivat satojen miljoonien dollarien arvoista infrastruktuuria, joka tuki disinformaatiota, kyberhyökkäyksiä ja talouspetoksia.

Lailliselle hosting-alalle tapaus on kuitenkin myönteinen. Jokainen onnistunut syyte vaikeuttaa rikollisten mahdollisuuksia löytää hosting-palveluita. Jokainen takavarikoitu palvelin vähentää käytettävissä olevaa infrastruktuuria haitallisille toimijoille. Ja jokainen vahvistunut oikeudellinen ennakkotapaus nostaa rikollisten toimintakustannuksia – kustannuksia, jotka siirtyvät heidän asiakkailleen.

Stark Industries oppi sen, minkä monet kulissiyhtiöt ovat oppineet ennen sitä: uusi nimi ei poista digitaalisia todisteita. Palvelimet eivät unohda, mitä niillä on ajettu – eikä moderni verkkoforensiikka anna niiden unohtaa.