Wanneer hosting-infra een wapen wordt: lessen uit de Nederlandse server-inbeslagname

Vorige week voerde de FIOD een grootschalige actie uit die hostingbedrijven en infrastructuurleveranciers wakker had moeten schudden. Er werden 800 servers in beslag genomen en twee verdachten aangehouden. Daarmee werd een professioneel opgezette hostingstructuur lamgelegd die volgens justitie betrokken was bij cyberaanvallen, desinformatie en beïnvloedingscampagnes met Russische en Wit-Russische connecties.

Op het eerste gezicht lijkt het weer zo’n cybersecurity-nieuwsbericht. Maar achter de schermen zitten belangrijke signalen over infrastructuurverantwoordelijkheid en hoe snel een hostingbedrijf verzeild kan raken in geopolitieke conflicten.

Een gelaagde opzet

Wat dit dossier technisch interessant maakt, is de manier waarop de infrastructuur was opgebouwd. Het ging niet om één bedrijf dat onzorgvuldig te werk ging. Er was sprake van een keten van verschillende lagen.

Stark Industries fungeerde als eerste hostinglaag. Dat bedrijf werd opvallend kort voor de Russische invasie van Oekraïne opgericht. Toen de EU-sancties in mei 2023 van kracht werden, verschoof de operatie eenvoudig naar een nieuw Nederlands bedrijf: WorkTitans B.V., actief onder de naam THE.Hosting.

Daaronder zat Mirhosting uit Almere. Dat leverde de fysieke laag: colocatie, connectiviteit en toegang tot internet exchanges in Amsterdam en Frankfurt. Zo kon verkeer Europa binnenkomen zonder dat de herkomst direct zichtbaar was.

Elke laag creëerde ruimte om verantwoordelijkheid af te schuiven. Hostingbedrijven wezen naar hun klanten, infrastructuurleveranciers wezen naar de hostingpartijen. Precies de constructie die sanctie-ontduiking mogelijk maakt.

Zichtbaarheid als probleem

Voor legitieme aanbieders zoals NameOcean en andere hostingbedrijven is dit een waarschuwing. De sector kampt met een zichtbaarheidstekort. Als je servers of colocatie aanbiedt, weet je vaak onvoldoende wat er daadwerkelijk op die systemen draait.

De meeste bedrijven vertrouwen op abuse-meldingen. Maar een goed georganiseerde actor kan daar prima omheen werken. In dit geval werd de infrastructuur gelinkt aan NoName057(16), een pro-Russische hacktivistengroep die DDoS-aanvallen uitvoert op kritieke systemen.

Sancties omzeilen via infrastructuur

Een belangrijk aspect is hoe eenvoudig de sancties werden omzeild. Stark Industries kwam op de EU-sanctielijst te staan, waarna de operatie gewoon verderging onder een andere naam. Dat toont aan dat sancties weinig effect hebben als er een technische workaround bestaat.

Regelgevers en hostingbedrijven zullen daarom serieuzer moeten kijken naar:

• Strengere KYC-controles bij hosting- en colocatiediensten
• Betere screening van klanten met toegang tot grote internet exchanges
• Real-time integratie van sanctielijsten in onboarding-processen
• Duidelijke afspraken over het melden van misbruik aan autoriteiten

Wat dit betekent voor hostingbedrijven

Als je een legitiem hostingplatform runt, vraagt deze zaak om concrete aanpassingen:

1. Snelle en duidelijke abuse-procedures
Een klacht over DDoS-infrastructuur of cyberaanvallen moet direct tot actie leiden. 48 uur wachten is dan te lang.

2. Dieper inzicht in je infrastructuur
Analytics gaat niet alleen over performance. Kijk ook naar verkeerspatronen, poortgebruik en plotselinge uitgaande datastromen naar bekende doelwitten.

3. Betrouwbare partners
Je colocatie- en transitpartners moeten net zo zorgvuldig worden gekozen als je klanten. Eén zwakke schakel kan een heel ecosysteem onder druk zetten.

4. Accepteer dat je een doelwit kunt zijn
Malafide actoren zoeken juist naar providers in landen die zij als minder streng beschouwen. Dat vraagt om proactief beleid en openheid richting justitie.

Infrastructuur als geopolitiek instrument

Deze inbeslagname past in een bredere trend: internetinfrastructuur wordt steeds vaker ingezet als wapen. Hostingbedrijven en cloudplatforms staan daarmee ongewild aan de frontlinie van digitale veiligheid.

Dat betekent niet dat je als provider politieagent moet worden. Het betekent wel dat je verantwoordelijkheid draagt voor wat er op je servers gebeurt en daar ook naar moet handelen.

Wat nu?

De Nederlandse aanpak was grondig en grensoverschrijdend. De vraag is of dit een incident blijft of het begin van een nieuwe handhavingsaanpak. Naarmate sancties strenger worden, zullen er waarschijnlijk meer van dit soort acties volgen.

Voor eerlijke hostingbedrijven is dat uiteindelijk positief. Betere handhaving zorgt voor een schonere markt en minder oneerlijke concurrentie. Voor klanten betekent het meer zekerheid dat hun infrastructuur niet plotseling wordt afgesloten.

Kortom: de tijd dat je kon zeggen “we hosten alleen bits en bytes” is voorbij.