Niederlande beschlagnahmen 800 Server und nehmen 2 Personen wegen Unterstützung von Cyberangriffen fest

 (krebsonsecurity.com)
1 Punkte von GN⁺ 3 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Die niederländischen Behörden haben zwei Mitinhaber eines Hosting-Unternehmens festgenommen, denen vorgeworfen wird, IT-Infrastruktur betrieben zu haben, die für russische Cyberangriffe innerhalb der EU, Einflussoperationen und Desinformationskampagnen genutzt wurde
  • Die FIOD nahm am 18. Mai einen 57-jährigen Mann in Amsterdam und einen 39-jährigen Mann in Den Haag fest und beschlagnahmte bei Durchsuchungen von Geschäftsräumen und Rechenzentren mehr als 800 Server sowie weitere Geräte
  • Die Ermittlungen konzentrieren sich auf Stark Industries, das kurz vor der russischen Invasion auftauchte; diese Infrastruktur wurde wiederholt bei DDoS-Angriffen auf europäische Ziele sowie bei Proxy- und Anonymisierungsdiensten im Zusammenhang mit pro-russischen Hacking-Gruppen festgestellt
  • Kurz vor den EU-Sanktionen wurden Vermögenswerte von Stark von PQHosting auf the[.]hosting übertragen; diese Gesellschaft erhielt ihre Internetanbindung offenbar ausschließlich über MIRhosting unter dem Dach von WorkTitans BV
  • MIRhosting und Andrey Nesterenko bestritten, Sanktionen umgangen oder illegale Aktivitäten unterstützt zu haben, setzten die Dienste für WorkTitans jedoch vorübergehend aus und leiteten eine interne Untersuchung zu den Vorwürfen rund um die dänischen Wahlen ein

Festnahmen und Server-Beschlagnahmungen in den Niederlanden

  • Die niederländische Finanzermittlungsbehörde FIOD nahm am 18. Mai einen 57-jährigen Mann in Amsterdam und einen 39-jährigen Mann in Den Haag fest, wie die niederländische Tageszeitung de Volkskrant berichtete
  • Den beiden wird vorgeworfen, durch die direkte oder indirekte Bereitstellung wirtschaftlicher Ressourcen an EU-sanktionierte Personen oder Organisationen gegen das Sanktionsrecht verstoßen zu haben
  • Ermittler durchsuchten drei Geschäftsräume in Enschede und Almere sowie zwei Rechenzentren in Dronten und Schiphol-Rijk und beschlagnahmten laut einer Mitteilung der niederländischen Behörden Laptops, Telefone und mehr als 800 Server
  • Eine an Kunden von the[.]hosting versandte Nachricht informierte darüber, dass die auf den Servern gespeicherten Daten unmittelbar nach der Beschlagnahmung verloren gegangen seien und nicht wiederhergestellt werden könnten

Stark Industries und der Verdacht auf Sanktionsumgehung

  • Die niederländischen Ermittlungen richten sich auf den großen Hosting-Anbieter Stark Industries, der zwei Wochen vor der russischen Invasion in die Ukraine auftauchte
  • Stark diente als Ursprung groß angelegter DDoS-Angriffe auf europäische Ziele und entwickelte sich zu einem wichtigen Anbieter von Proxy- und Anonymisierungsdiensten, die wiederholt bei Angriffen mit Verbindung zu pro-russischen Hacking-Gruppen auftauchten, wie in einer Analyse vom Mai 2024 beschrieben wurde
  • Diese Analyse identifizierte die moldauischen Brüder Ivan Neculiti und Yuri Neculiti sowie deren Unternehmen PQHosting als einen der beiden wichtigsten Internet-Uplinks von Stark
  • Die EU belegte PQHosting und die Brüder Neculiti im Mai 2025 mit Sanktionen, weil sie Russland bei der Führung seines hybriden Kriegs unterstützt haben sollen
  • Nach einem Bericht vom September 2025 erfassten die Sanktionen jedoch nicht den verbliebenen Internet-Uplink von Stark, den niederländischen ISP MIRhosting
  • Etwa zwei Wochen vor der Bekanntgabe der EU-Sanktionen gegen PQHosting und die Brüder Neculiti gelangten entsprechende Informationen an die Presse; in dieser Zeit wurden die Netzwerkressourcen von Stark von PQHosting auf die neue Gesellschaft the[.]hosting übertragen
  • the[.]hosting stand unter der Kontrolle der niederländischen Gesellschaft WorkTitans BV, die laut dem Bericht von September 2025 von Andrey Nesterenko und Youssef Zinad kontrolliert wurde
  • WorkTitans erhielt die Anbindung an das größere Internet ausschließlich über MIRhosting, und Zinad hatte zuvor bei MIRhosting gearbeitet

Angriffe während der dänischen Wahlen und die Erwiderung von MIRhosting

  • de Volkskrant prüfte Daten, die zeigen sollen, dass WorkTitans und MIRhosting vom 13. bis 19. November 2025, der Woche der dänischen Kommunalwahlen, die am häufigsten genutzten Netzwerke bei pro-russischen Angriffen auf dänische Regierungsstellen waren
  • Nesterenko bestritt vor seiner Festnahme, gewusst zu haben, dass seine Server von pro-russischen Cyberkriminellen missbraucht worden seien
  • Er erklärte, nach Inkrafttreten der EU-Sanktionen im Mai 2025 alle Dienstleistungen für die Brüder Neculiti beendet zu haben, und sagte, er behalte sich alle Rechte gegen eine „schädliche und unzutreffende Berichterstattung“ vor
  • MIRhosting teilte in einer Stellungnahme mit, man habe eine interne Untersuchung zu den Vorwürfen im Zusammenhang mit den dänischen Wahlen eingeleitet und als Vorsichtsmaßnahme die Dienste für WorkTitans während weiterer Prüfungen vorübergehend ausgesetzt
  • MIRhosting erklärte, die vorläufige Untersuchung habe keine Hinweise ergeben, dass von dem Unternehmen kontrollierte Dienste tatsächlich genutzt worden seien, um die dänischen Wahlen zu beeinflussen
  • Im Netzwerkverkehr des betreffenden Zeitraums seien weder Auffälligkeiten noch Spitzen festgestellt worden; hätte es groß angelegte DDoS-Angriffe gegeben, wäre eine solche Aktivität sichtbar gewesen, argumentierte MIRhosting
  • Zudem erklärte MIRhosting, vor den Medienberichten weder Beschwerden, Abuse Reports noch formelle Anfragen zu verdächtigen Aktivitäten oder Netzwerkmissbrauch erhalten zu haben; die Dienste für andere Kunden liefen weiterhin normal

Die Vorgeschichte von Andrey Nesterenko und MIRhosting

  • Andrey Nesterenko gründete 2004 die MIRhosting-Muttergesellschaft Innovation IT Solutions Corp.
  • Innovation IT Solutions Corp. wird als das Unternehmen genannt, das die hacktivistische Website stopgeorgia[.]ru hostete, die 2008 während der Invasion der russischen Armee in Georgien auftauchte
  • stopgeorgia[.]ru wurde als Website beschrieben, die Cyberangriffe auf Georgien organisierte; der Konflikt gilt als der erste Krieg, in dem auffällige Cyberangriffe und reale militärische Gefechte gleichzeitig stattfanden
  • In einer E-Mail-Antwort erklärte Nesterenko, MIRhosting unterstütze weder Cyberkriminalität noch Sanktionsumgehung oder andere illegale Aktivitäten und die Vorwürfe sowie die Festnahme durch die niederländischen Behörden seien für ihn und sein Unternehmen äußerst schädlich
  • Er behauptete, der Wechsel zu the[.]hosting habe nicht der Umgehung von Sanktionen gedient; Hardware und Kundenportfolio seien bereits vor dem Auftauchen der Sanktionen auf WorkTitans übertragen worden
  • Außerdem erklärte Nesterenko, die Schließung oder Beschädigung eines legitimen niederländischen Infrastrukturunternehmens werde Cyberkriminalität nicht stoppen, sondern vielen unschuldigen Menschen schaden

Die Rolle von Youssef Zinad

  • Über Youssef Zinad ist deutlich weniger öffentlich bekannt, und Berichten zufolge hielt er sich seit der Berichterstattung von 2025 im Hintergrund
  • Nesterenko behauptete, Zinad sei kein Mitarbeiter von MIRhosting, sondern habe ihn und MIRhosting im Rahmen eines üblichen B2B-Vertrags bei bestimmten geschäftlichen Aufgaben unterstützt
  • In einer früheren E-Mail an KrebsOnSecurity setzte Nesterenko jedoch Zinad mit einer @mirhosting.com-Adresse in Kopie und beschrieb ihn als Teil des Rechtsteams des Unternehmens
  • Die niederländische Website stagemarkt[.]nl führte Youssef Zinad als offiziellen Ansprechpartner des MIRhosting-Büros in Almere
  • de Volkskrant berichtete, Zinad habe den Zugriff auf sein LinkedIn-Konto gesperrt, monatelang nicht auf E-Mails, WhatsApp oder Anrufe reagiert und sei später in einer Wohnung in Amsterdam festgenommen worden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 3 시간 전
Hacker-News-Kommentare

  • Man sollte darauf hinweisen, dass diese Firmen kaum als legitime Hosting-Unternehmen gelten können. Es geht nicht einfach nur um ausländische Server ohne KYC, sondern eher um Tarnfirmen russischer Geheimdienste, die von Mitarbeitern russischer Geheimdienste betrieben werden. Andere Geschäfte machen sie offenbar nicht, und selbst wenn normale Nutzer wollten, würden sie wohl kein Hosting anbieten.
    In Deutschland ist einmal ein E-Mail-Anbieter (pissmail) im Gefängnis gelandet, weil sich jemand dort angemeldet und Spam verschickt hatte, und infolgedessen habe ich mehrere meiner Social-Media-Konten verloren.

    • Die Aussage „sie bieten kein Hosting für normale Nutzer an“ scheint so nicht zu stimmen. Ich habe früher einmal PQ.Hosting genutzt, weil ich dringend kurzfristig einen VPS brauchte, und es gab dort auch viele andere normale Nutzer.
      Die Anforderungen waren nicht besonders hoch, aber schon wegen Torrent-Nutzung wurden Nutzer oft schnell gesperrt, also war es kein Bulletproof Hosting in irgendeinem nennenswerten Sinn. Wahrscheinlich steckten sie trotzdem in dubiose Dinge hinein, und die IP-Qualität war miserabel, aber einen normalen Dienst haben sie durchaus angeboten.
    • Für diese Behauptung bräuchte es eine Quelle. Ohne das wirkt es fast wie eine Verschwörungstheorie.

  • Ich war meine ganze Zeit im Security-Bereich über auf der Verteidigerseite.
    Ich weiß, dass sich Kriminalität in manchen Märkten mehr lohnt als legale Arbeit, aber es überrascht mich immer wieder, wie viel Denken, Aufwand, Planung und Ingenieurskunst in die Bereitstellung von Infrastruktur-IT-Services für Cyberkriminelle fließt. Die Beteiligten hätten genug Fähigkeiten, um auch legal gutes Geld zu verdienen, deshalb fällt es mir schwer zu verstehen, warum sie stattdessen Kriminelle unterstützen.

    • Ich habe erlebt, wie jemand mit gutem Job, Karriere und Familie in die Cyberkriminalität abgerutscht ist, abstürzte und schließlich im Gefängnis landete.
      So wie ich es verstanden habe, genoss er den Kick der Überlegenheit dabei, das Gesetz zu umgehen, Menschen auszunutzen, die er für dumm hielt, und damit Geld zu verdienen.
      Rückblickend wurde er wegen eines wirklich dummen Fehlers gefasst. Offenbar glaubte er so sehr an seine intellektuelle Überlegenheit und an die Dummheit anderer, dass er irgendwann meinte, niemand könne ihn je erwischen.
    • Den legalen Weg zu gehen ist nicht unbedingt einfach, besonders auf dem heutigen Arbeitsmarkt und je nachdem, wo man lebt.
      Die USA sind ein ungewöhnlicher Markt mit sehr hohen Tech-Gehältern, und reine Betriebsaufgaben liegen selbst dort eher am unteren Ende. In Ländern, in denen Systemadministratoren im Schnitt viel weniger verdienen, zum Beispiel in Osteuropa, wo man grob bei 30.000 bis 35.000 Dollar pro Jahr liegt, ist gut nachvollziehbar, warum Cyberkriminalität verlockend erscheint.
    • Man muss es sich so vorstellen: Man arbeitet in einer Organisation, in der 1) Cybersecurity tatsächlich oberste Priorität hat und nicht nur Gerede über „Shareholder Value“, 2) man Systeme unter der Annahme entwirft, dass alle anderen Akteure böswillig sind, 3) das Budget praktisch unbegrenzt ist und 4) man ein Vielfaches dessen verdient, was in privaten Unternehmen gezahlt wird.
      Eine Umgebung also ohne die üblichen Ausnahmen wie „Wir machen zwar Zero Trust, aber die gesamte Management-Ebene läuft nun einmal über Azure“.
    • Man sollte das nicht als „Bereitstellung von Infrastruktur-IT-Services für Cyberkriminelle“ betrachten. Das klingt so, als seien sie im Kern IT-Leute, die Infrastruktur betreiben, deren Kundschaft zufällig aus dieser Ecke kommt.
      Eher ist es so, dass verschiedene Cybercrime-Gruppen keine Hosting-Anbieter fanden, die sie akzeptierten, und deshalb die mühsame Arbeit auf sich nahmen, selbst eine Backend-IT-Infrastruktur aufzubauen. Danach entwickelt sich das auf Grundlage der bereits vorhandenen Infrastruktur oft in einige Richtungen weiter.
      Erstens erkennen sie, dass ihre eigenen Bedürfnisse auf eine allgemeinere ungedeckte Nachfrage nach „frag nicht, sag nichts“-Hosting hinweisen, und fangen nebenbei mit Hosting an.
      Zweitens halten sie eine erfundene Hosting-Firma, etwa bei Dingen wie einer ASN-Registrierung, für glaubwürdiger und damit schützender, je überzeugender die Fassade ist, und kleben deshalb eine Hosting-Website darüber, die weder echte Kunden noch eine Control Plane hat.
      Drittens kommen sie zu dem Schluss, dass echte Kunden mit legitimem Traffic aus ihrer ASN sie glaubwürdiger erscheinen lassen und andere ASNs davon abhalten, den gesamten Bereich pauschal zu blockieren. Also bauen sie auf irgendeinem armseligen Server tatsächlich ein Setup auf, das grob dem eines üblichen VPS-Anbieters entspricht. Wahrscheinlich eher alte, schlechte Turnkey-IaaS-Ausrüstung vom Cybercrime-Marktplatz als OpenStack.
      Viertens, und das scheint der häufigste Weg zu sein, reden sie mit befreundeten Cyberkriminellen, die dann sagen: „Wenn ihr euch ohnehin etwas Eigenes gebaut habt, hostet doch auch uns.“ So entwickelt sich nach und nach faktisch ein Hosting-Geschäft. Wenn immer mehr dieser per Mundpropaganda kommenden High-Touch-Kunden dazukommen, wird die manuelle Konfiguration zu mühsam, und irgendwann beginnt man zu automatisieren.
    • In legale Tech-Jobs zu kommen, ist gar nicht so einfach. Heutzutage sind Tech-Jobs an sich schon fast ein Luxus.

  • Als ich mir im Homelab pfSense beigebracht und eingerichtet habe, konnte ich sehen, aus welchen Regionen die Scans und Angriffe auf die IP meines Heimanschlusses kamen. Ich war überrascht, dass die Niederlande ähnlich stark vertreten waren wie Russland oder China, und habe alles aus der Region blockiert.
    Ich frage mich, warum die Niederlande für diese Leute so attraktiv sind.

    • Weil die Server dort stehen. Man muss sich nur ansehen, wie viele Tor-Nodes es in den Niederlanden gibt. Das heißt nicht, dass die tatsächlichen Betreiber in den Niederlanden sitzen.
    • Vermutlich wegen der hohen Bandbreite und vergleichsweise milden Strafen.

  • Wer sich für berüchtigte Rechenzentren interessiert, sollte sich CyberBunker anschauen. Das ist konzeptionell interessant, und das befindet sich ebenfalls in den Niederlanden.
    https://en.wikipedia.org/wiki/CyberBunker

  • Die Stelle „Die Sanktionen zielten nicht auf Starks verbleibende Internetverbindung, den in den Niederlanden ansässigen Internetdienstanbieter MIRhosting“ ist absurd. Ich laufe jeden Tag am Büro von mirhosting vorbei.

  • Es wäre gut, auch die Personen namentlich zu nennen und anzuklagen, die für die Durchführung der Angriffe bezahlt haben.

    • Wenn es die FSB ist, was will man dann machen. Russland hat ein voll besetztes Passagierflugzeug mit niederländischen Bürgern abgeschossen, und es hatte kaum Konsequenzen.
    • Ermittlungsbehörden sprechen normalerweise nicht über laufende Ermittlungen.