När hostinginfrastruktur blir ett vapen: Vad den nederländska serverbeslaget visar

Nederländska ekonomibrottsmyndigheten FIOD slog nyligen till mot en avancerad hostingverksamhet. De beslagtog 800 servrar och grep två personer. Verksamheten misstänks ha stöttat cyberattacker och desinformationskampanjer kopplade till Ryssland och Belarus.

Det som först verkar vara ännu en nyhet om cybersäkerhet visar sig vid närmare granskning handla om något större: hur infrastrukturbolag kan dras in i geopolitiska konflikter.

En komplex uppbyggnad

Det som gör fallet tekniskt intressant är hur noggrant infrastrukturen var uppbyggd. Det handlar inte om ett enskilt bolag som agerat slarvigt. Istället har utredarna kartlagt flera lager:

Stark Industries startades som hostingbolag bara veckor innan Rysslands invasion av Ukraina 2022. När EU:s sanktioner slog till 2023 flyttades verksamheten över till ett nytt nederländskt bolag, WorkTitans B.V., som drevs under namnet THE.Hosting.

Samtidigt stod Mirhosting i Almere för den fysiska delen – serverplacering, nätverksanslutning och tillgång till stora internetknutpunkter i Amsterdam och Frankfurt. Trafiken kunde därmed flöda in i Europa utan att ursprunget syntes.

Varje lager i kedjan gav möjlighet till ansvarsfriskrivning. Hostingbolagen kunde peka på att de bara levererade beräkningskraft. Infrastrukturleverantörerna kunde säga att de bara tillhandahöll uppkoppling.

Bristen på insyn

För seriösa hostingbolag är det här ett varningstecken. Branschen har ett insynsproblem.

De flesta leverantörer förlitar sig på abuse-rapporter och kundklagomål. Men när en kund är tillräckligt sofistikerad och välfinansierad kan infrastrukturen användas för allt från DDoS-attacker till samordning av cyberoperationer – samtidigt som verksamheten ser legitim ut på ytan.

Enligt utredningen kopplas WorkTitans infrastruktur till attacker utförda av hacktivistgruppen NoName057(16), som är känd för storskaliga attacker mot kritisk infrastruktur.

Sanktioner som kringgås

Stark Industries hamnade på EU:s sanktionslista i maj 2023. Istället för att lägga ner flyttades verksamheten bara vidare. Det visar hur enkelt det är att tekniskt kringgå sanktioner.

För att komma åt problemet krävs mer än bara bättre polisarbete. Det behövs:

• Strängare KYC-krav vid försäljning av hosting och colocation
• Noggrannare granskning av leverantörer med tillgång till stora internetknutpunkter
• Automatisk kontroll mot sanktionslistor vid kundregistrering
• Tydligare rapportering av missbruk till myndigheter

Vad det betyder för hostingbolag

Om du driver en seriös hostingplattform – oavsett om det gäller shared hosting, VPS eller dedicated servers – bör det här påverka hur du arbetar med säkerhet:

1. Ha tydliga rutiner för abuse-utredningar
Det räcker inte att "agera snabbt". Vid misstanke om DDoS-infrastruktur eller cyberattacker bör åtgärder vidtas omedelbart.

2. Övervaka trafiken noggrant
Loggning och analys ger insyn i:

• Ovanliga trafikmönster
• Portanvändning och protokollfördelning
• Avvikande kundbeteenden
• Plötsliga trafikökningar mot kända mål

3. Välj dina leverantörer med omsorg
Colocation-partners, transitleverantörer och internetknutpunkter påverkar hela kedjan. Ett svagt led kan kompromettera hela verksamheten.

4. Räkna med att bli utvald
Kriminella aktörer väljer medvetet leverantörer i jurisdiktioner de tror är mindre vaksamma. Det kräver både bättre säkerhet och öppenhet mot myndigheter.

Infrastruktur som krigföring

Det nederländska tillslaget är en del av en större trend under 2024. Cyberattacker och digital påverkan är inte längre bara säkerhetsproblem – de är geopolitiska verktyg.

Hostingbolag och molnleverantörer är inte längre neutrala aktörer. Oavsett om vi vill det eller inte befinner vi oss mitt i frontlinjen för informationssäkerhet.

Det innebär inte att alla leverantörer ska bli polisiära aktörer. Men det kräver att vi tar ansvar för vad som händer på vår infrastruktur – och agerar när missbruk upptäcks.

Framåt

Den nederländska operationen var väl samordnad och genomfördes över flera jurisdiktioner. Frågan är om det var ett isolerat fall eller början på en ny era av tillsyn.

För seriösa aktörer inom hosting och molntjänster är det faktiskt positivt. Bättre efterlevnad leder till renare marknad, färre kriminella konkurrenter och starkare förtroende från kunderna.

Tiden då man kunde säga "vi bara hostar bitar och bytes" är förbi.