Нидерландская полиция изъяла 800 серверов, связанных с российскими хакерами.

      TL;DRНидерландские следователи по финансовым преступлениям изъяли 800 серверов и арестовали двух мужчин, которые якобы предоставляли хостинг-инфраструктуру хакерской группе NoName057(16), связанной с Кремлем. Серверы, управляемые WorkTitans и MIRhosting, были связаны с сущностями, уклоняющимися от санкций, контролируемыми двумя молдавскими братьями, внесенными в черный список ЕС.

      Нидерландские следователи по финансовым преступлениям изъяли 800 серверов и арестовали двух мужчин в рамках операции против хостинг-компаний, которые предоставляли инфраструктуру для кибератак, спонсируемых государством России, по всей Европе. Нидерландская Фискальная служба информации и расследований (FIOD) провела обыски в двух дата-центрах на прошлой неделе и закрыла серверы, управляемые WorkTitans и MIRhosting, двумя компаниями, подозреваемыми в нарушении санкций ЕС, арендуя серверное пространство для сущностей, контролируемых санкционированными лицами.

      Аресты были направлены против Юссефа Зинада, 57-летнего владельца WorkTitans, и Андрея Нестеренко, 39-летнего основателя MIRhosting. Нестеренко, гражданин России, проживающий в Нидерландах, является лауреатом премий как концертный пианист. Он отрицал свою вину в сообщении в LinkedIn, заявив, что разорвал отношения с санкционированными лицами после того, как они были внесены в черный список, и что MIRhosting не наблюдала ничего подозрительного, исходящего из ее сети.

      След санкций

      Дело восходит к Иурию и Ивану Некулити, двум молдавским братьям, которые управляли Stark Industries Solutions, хостинг-компанией, ставшей одним из самых продуктивных содействующих кибератакам России в Европе после полномасштабного вторжения в Украину в 2022 году. В мае 2025 года Европейский Союз наложил санкции на братьев Некулити и их компании за помощь хакерам, спонсируемым государством России, в проведении кибератак, дезинформационных кампаний и других дестабилизирующих действий против государств-членов ЕС.

      Но, как сообщается, братья получили предупреждение заранее. Согласно Krebs on Security, они узнали о предстоящих санкциях примерно за 12 дней до объявления, когда молдавские и европейские СМИ сообщили о предстоящем внесении в черный список. Stark Industries изменила название на THE.hosting и перенесла свои операции в WorkTitans BV, нидерландскую компанию, которая теперь находится в центре расследования. Инфраструктура, обеспечивавшая атаки, просто переместилась в новую корпоративную оболочку в Нидерландах, продолжая работать с тех же физических серверов.

      NoName057(16) и геймификация кибервойны

      Серверы, изъятые в нидерландских рейдах, были связаны с NoName057(16), пророссийской хактивистской группой, которая с 2022 года проводила атаки распределенного отказа в обслуживании (DDoS) против правительственных веб-сайтов, банковских услуг и критической инфраструктуры по всей Европе. Группа заполняет целевые веб-сайты трафиком, пока они не выходят из строя, что является простой, но эффективной техникой, которая нарушила работу всего, от датских государственных учреждений до французской почтовой службы.

      NoName057(16) не является фриланс-операцией. Министерство юстиции США определило ее как скрытый проект, в который входят сотрудники поддерживаемой Кремлем организации под названием Центр изучения и сетевого мониторинга молодежной среды. Группа ведет ежедневный рейтинг, который оценивает волонтеров по количеству атак, которые они запускают, и награждает самых продуктивных участников криптовалютой. Она превратила кибератаки в игровое соревнование, стимулируя массовое участие в том, что является государственно спонсируемым цифровым саботажем.

      WorkTitans и MIRhosting были наиболее используемыми сетями в серии пророссийских атак против датских государственных организаций в течение нескольких дней в ноябре 2025 года, согласно расследованию нидерландской газеты Volkskrant. На Рождество NoName057(16) атаковала почтовую службу Франции и задержала доставку посылок по всей стране.

      Почему Нидерланды продолжают появляться

      Нидерландские рейды подчеркивают структурную проблему в европейской кибербезопасности. Хакерские группы, связанные с Россией, зависят от хостинг-инфраструктуры в западных странах для проведения своих атак, и Нидерланды, где расположены некоторые из крупнейших интернет-обменников Европы, являются особенно привлекательным местом. Нидерланды возглавили некоторые из крупнейших операций по борьбе с киберпреступностью в Европе, включая Операцию Endgame в 2024 году, которая была направлена на ботнеты, ответственные за сотни миллионов евро убытков.

      Проблема заключается в скорости или ее отсутствии. Сиан Хизли, главный консультант британской кибербезопасной компании Acumen Cyber, сообщил Bloomberg, что российские хакеры больше полагаются на западное оборудование, чем им хотелось бы признать, что делает их уязвимыми для действий полиции. Но им удается избежать наказания из-за того, сколько времени требуется правоохранительным органам для закрытия недобросовестных хостинг-компаний. К тому времени, когда следователи строят дело и получают ордера, инфраструктура часто была воспроизведена в другом месте.

      Изъятие в Нидерландах не является первым случаем, когда правоохранительные органы нацелились на инфраструктуру NoName057(16). В июле 2025 года операция, координированная Европолом, уничтожила 100 серверов, которые группа, по-видимому, арендовала для обеспечения своих атак. Тот факт, что менее чем через год было изъято еще 800 серверов, предполагает, что группа быстро восстановила свои возможности, вероятно, используя те же структуры, уклоняющиеся от санкций, которые братья Некулити создали до того, как они были внесены в черный список.

      Ограничения правоприменения

      Аресты Зинада и Нестеренко представляют собой редкий случай, когда правоохранительные органы достигли человеческих операторов, стоящих за хостинг-инфраструктурой, а не просто изъяли оборудование. Но более широкая проблема правоприменения остается. Европа была самым целевым регионом для кибератак в 2023 году, составив 32% от глобальных инцидентов, а атаки, связанные с государственным саботажем, на европейскую инфраструктуру примерно утроились между 2023 и 2024 годами.

      Атаки DDoS, проводимые NoName057(16), не являются сложными. Они не крадут данные и не компрометируют системы. Они просто отключают веб-сайты, создавая видимые нарушения, которые служат более широкой стратегии информационной войны России. Ущерб измеряется в потерянной общественной уверенности, нарушенных государственных услугах и накопительных затратах на защиту от атак, которые легко запустить, но дорого поглотить.

      Изъятие 800 серверов и арест двух подозреваемых является значительным оперативным результатом. Но по мере того как НАТО и европейские правительства инвестируют в возможности киберзащиты, основная проблема сохраняется: хостинг-инфраструктура в демократических странах с сильной интернет-связью будет продолжать быть привлекательной для спонсируемых государством атакующих именно потому, что она быстрая, надежная и, пока кто-то не подаст обвинения, легальная.