Kiedy infrastruktura hostingowa staje się narzędziem w rękach cyberprzestępców

Holenderska policja gospodarcza (FIOD) przeprowadziła niedawno operację, która powinna zainteresować każdego dostawcę usług hostingowych. Zabezpieczono 800 serwerów, zatrzymano dwie osoby i zlikwidowano sieć, która według śledczych wspierała ataki DDoS, kampanie dezinformacyjne oraz działania związane z ingerencją w procesy polityczne.

Sprawa ma jednak szerszy wymiar. Pokazuje, jak łatwo infrastruktura może zostać wykorzystana do omijania sankcji i prowadzenia działań o charakterze geopolitycznym.

Schemat działania: wielowarstwowa struktura

Operacja opierała się na kilku powiązanych ze sobą podmiotach. Głównym graczem była firma Stark Industries, zarejestrowana tuż przed rosyjską inwazją na Ukrainę w 2022 roku. Po nałożeniu sankcji unijnych w maju 2023 roku działalność przeniesiono na nowo utworzoną spółkę WorkTitans B.V., działającą pod marką THE.Hosting.

Fizyczną warstwę zapewniała firma Mirhosting z Almere. Dostarczała ona serwery w modelu colocation oraz łączność z europejskimi punktami wymiany ruchu w Amsterdamie i Frankfurcie. Dzięki temu ruch sieciowy mógł płynnie wchodzić do Europy, maskując swoje rzeczywiste pochodzenie.

Taka architektura dawała każdemu uczestnikowi możliwość zaprzeczania odpowiedzialności. Hostingodawcy twierdzili, że udostępniają jedynie zasoby obliczeniowe. Dostawcy łączności – że oferują tylko infrastrukturę transmisyjną.

Problem widoczności w branży hostingowej

Dla legalnych dostawców hostingu, takich jak NameOcean, sprawa ta ujawnia poważny problem: brak realnej kontroli nad tym, co dzieje się na serwerach klientów.

Większość firm polega na zgłoszeniach abuse i reakcjach na skargi. Jednak gdy klient dysponuje odpowiednimi zasobami i wiedzą techniczną, może prowadzić działalność związaną z atakami DDoS czy koordynacją działań cybernetycznych, zachowując pozory legalności.

Według śledczych infrastruktura WorkTitans była wykorzystywana przez grupę NoName057(16) – pro-rosyjską grupę hakerską znaną z ataków na krytyczną infrastrukturę.

Obejście sankcji przez zmianę struktury

Kluczowym elementem sprawy jest fakt, że sankcje UE wobec Stark Industries nie zakończyły działalności. Firma po prostu zmieniła nazwę i przeniosła infrastrukturę.

To jasny sygnał dla regulatorów i dostawców usług: sankcje tracą sens, jeśli łatwo je obejść technicznie. Konieczne są:

• Surowsze wymagania KYC przy rejestracji klientów
• Dokładniejsza weryfikacja przy dostępie do punktów wymiany ruchu
• Automatyczna integracja list sankcyjnych z procesem onboardingu
• Obowiązkowe raportowanie nadużyć do odpowiednich organów

Co powinni zrobić hostingodawcy

Jeśli prowadzisz platformę hostingową – niezależnie czy oferujesz shared hosting, VPS, serwery dedykowane czy rozwiązania chmurowe – ta sprawa powinna wpłynąć na Twoje podejście do bezpieczeństwa:

1. Wdrażaj skuteczne procedury reagowania na abuse
Otrzymanie zgłoszenia o infrastrukturze wykorzystywanej do ataków DDoS wymaga natychmiastowej reakcji, a nie kilkudniowego opóźnienia.

2. Monitoruj infrastrukturę na poziomie technicznym
Analiza ruchu, wykorzystanie portów, nietypowe zachowanie klientów i nagłe wzrosty ruchu wychodzącego powinny być stale obserwowane.

3. Wybieraj zaufanych partnerów upstream
Dostawcy colocation, operatorzy łączności i punkty IX – każdy z nich może stać się słabym ogniwem w łańcuchu dostaw.

4. Bądź gotowy na współpracę z organami ścigania
Złośliwi aktorzy celowo wybierają jurysdykcje postrzegane jako mniej rygorystyczne. Transparentność wobec służb może uchronić przed większymi problemami.

Infrastruktura jako element konfliktu

Sprawa holenderska wpisuje się w szerszy trend: coraz częstsze wykorzystywanie infrastruktury internetowej jako narzędzia w działaniach państwowych. Hostingodawcy przestają być neutralnymi dostawcami usług – stają się częścią frontu walki z cyberzagrożeniami.

Nie oznacza to, że każdy provider musi pełnić rolę organu ścigania. Oznacza to jednak konieczność brania odpowiedzialności za to, co dzieje się na jego infrastrukturze.

Co dalej

Holenderska operacja była dobrze zaplanowana i skoordynowana między agencjami z różnych krajów. Pytanie brzmi, czy to pojedynczy sukces, czy początek nowego podejścia do egzekwowania prawa w tym obszarze.

Dla uczciwych firm hostingowych to dobra wiadomość – skuteczniejsze egzekwowanie oznacza czystszy rynek i mniejszą konkurencję ze strony podmiotów działających na granicy prawa. Dla klientów – mniejsze ryzyko, że ich infrastruktura zostanie nagle wyłączona.

Czas traktować zapobieganie nadużyciom i zgodność z sankcjami poważnie. Era „my tylko hostujemy bity i bajty” dobiegła końca.