เนเธอร์แลนด์ยึดเซิร์ฟเวอร์ 800 เครื่องและจับกุม 2 คน ฐานช่วยสนับสนุนการโจมตีทางไซเบอร์
(krebsonsecurity.com)- ทางการเนเธอร์แลนด์ จับกุมผู้ร่วมเป็นเจ้าของบริษัทโฮสติ้ง 2 คน ในข้อหาดำเนินโครงสร้างพื้นฐานด้านไอทีที่ถูกใช้ในการโจมตีทางไซเบอร์ ปฏิบัติการสร้างอิทธิพล และแคมเปญข้อมูลเท็จของรัสเซียภายในสหภาพยุโรป
- FIOD จับกุมชายอายุ 57 ปีในอัมสเตอร์ดัมและชายอายุ 39 ปีในกรุงเฮกเมื่อวันที่ 18 พฤษภาคม และยึด เซิร์ฟเวอร์มากกว่า 800 เครื่อง พร้อมอุปกรณ์ต่าง ๆ จากการตรวจค้นสถานประกอบการและดาต้าเซ็นเตอร์
- การสืบสวนมุ่งไปที่ Stark Industries ซึ่งปรากฏตัวก่อนการรุกรานยูเครนของรัสเซียไม่นาน และโครงสร้างพื้นฐานนี้ถูกพบซ้ำ ๆ ในการโจมตี DDoS ต่อเป้าหมายในยุโรป รวมถึงบริการพร็อกซีและการทำให้นิรนามที่เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัสเซีย
- ก่อนที่มาตรการคว่ำบาตรของ EU จะมีผล ทรัพย์สินของ Stark ถูกย้ายจาก PQHosting ไปยัง the[.]hosting และพบว่านิติบุคคลนี้ได้รับการเชื่อมต่ออินเทอร์เน็ตผ่าน MIRhosting เท่านั้น ภายใต้ WorkTitans BV
- แม้ MIRhosting และ Andrey Nesterenko จะปฏิเสธว่าไม่ได้ช่วยหลบเลี่ยงมาตรการคว่ำบาตรหรือสนับสนุนกิจกรรมผิดกฎหมาย แต่ WorkTitans ได้ถูกระงับบริการชั่วคราว และมีการเริ่มสอบสวนภายในเกี่ยวกับประเด็นการเลือกตั้งของเดนมาร์ก
การจับกุมและการยึดเซิร์ฟเวอร์ในเนเธอร์แลนด์
- หนังสือพิมพ์รายวันของเนเธอร์แลนด์ de Volkskrant รายงาน ว่า FIOD ซึ่งเป็นหน่วยสืบสวนอาชญากรรมทางการเงินของเนเธอร์แลนด์ ได้จับกุมชายอายุ 57 ปีในอัมสเตอร์ดัมและชายอายุ 39 ปีในกรุงเฮกเมื่อวันที่ 18 พฤษภาคม
- ทั้งสองคนถูกกล่าวหาว่าละเมิดกฎหมายคว่ำบาตร ด้วยการจัดหา ทรัพยากรทางเศรษฐกิจ ไม่ว่าทางตรงหรือทางอ้อม ให้แก่บุคคลที่อยู่ภายใต้มาตรการคว่ำบาตรของ EU
- ทางการเนเธอร์แลนด์ ประกาศ ว่าเจ้าหน้าที่ได้เข้าตรวจค้นสถานประกอบการ 3 แห่งใน Enschede และ Almere รวมถึงดาต้าเซ็นเตอร์ 2 แห่งใน Dronten และ Schiphol-Rijk และได้ยึดแล็ปท็อป โทรศัพท์ และเซิร์ฟเวอร์มากกว่า 800 เครื่อง
- ข้อความที่ส่งถึงลูกค้าของ the[.]hosting ระบุว่าหลังการยึด อุปกรณ์ข้อมูลที่เก็บอยู่บนเซิร์ฟเวอร์สูญหายและไม่สามารถกู้คืนได้
Stark Industries และข้อสงสัยเรื่องการหลบเลี่ยงมาตรการคว่ำบาตร
- การสืบสวนของเนเธอร์แลนด์มุ่งเน้นไปที่ Stark Industries ผู้ให้บริการโฮสติ้งรายใหญ่ที่ปรากฏขึ้นสองสัปดาห์ก่อนรัสเซียบุกยูเครน
- บทวิเคราะห์เชิงลึก เมื่อเดือนพฤษภาคม 2024 ระบุว่า Stark เป็นแหล่งที่มาของการโจมตี DDoS ขนาดใหญ่ ต่อเป้าหมายในยุโรป และกลายเป็นผู้จัดหาหลักของบริการพร็อกซีและการทำให้นิรนามที่ปรากฏซ้ำ ๆ ในการโจมตีที่เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัสเซีย
- บทวิเคราะห์ดังกล่าวระบุว่าพี่น้องชาวมอลโดวา Ivan Neculiti และ Yuri Neculiti รวมถึงบริษัทของพวกเขา PQHosting เป็นผู้ให้หนึ่งในสองเส้นทางเชื่อมต่ออินเทอร์เน็ตหลักของ Stark
- EU คว่ำบาตร PQHosting และพี่น้อง Neculiti ในเดือนพฤษภาคม 2025 จากข้อหาช่วยรัสเซียดำเนินสงครามลูกผสม
- อย่างไรก็ตาม ณ รายงาน เดือนกันยายน 2025 มาตรการคว่ำบาตรยังไม่ครอบคลุม ISP ในเนเธอร์แลนด์อย่าง MIRhosting ซึ่งเป็นเส้นทางเชื่อมต่ออินเทอร์เน็ตที่เหลืออยู่ของ Stark
- ประมาณสองสัปดาห์ก่อน EU จะประกาศคว่ำบาตร PQHosting และพี่น้อง Neculiti ข่าวที่เกี่ยวข้องได้รั่วไหลสู่สื่อ และในช่วงเวลาดังกล่าว ทรัพย์สินเครือข่ายของ Stark ถูกย้ายจาก PQHosting ไปยังนิติบุคคลใหม่ the[.]hosting
- รายงานเดือนกันยายน 2025 ระบุว่า the[.]hosting อยู่ภายใต้การควบคุมของบริษัทดัตช์ WorkTitans BV ซึ่งถูกควบคุมโดย Andrey Nesterenko และ Youssef Zinad
- WorkTitans ได้รับการเชื่อมต่อออกสู่อินเทอร์เน็ตวงกว้างผ่าน MIRhosting เพียงรายเดียว และ Zinad เคยทำงานที่ MIRhosting มาก่อน
การโจมตีช่วงการเลือกตั้งเดนมาร์กและคำโต้แย้งของ MIRhosting
- de Volkskrant ได้ตรวจสอบข้อมูลที่แสดงว่าในช่วงสัปดาห์การเลือกตั้งท้องถิ่นของเดนมาร์กระหว่างวันที่ 13 ถึง 19 พฤศจิกายน 2025 เครือข่ายที่ถูกใช้มากที่สุดในการโจมตีของฝ่ายนิยมรัสเซียต่อหน่วยงานรัฐบาลเดนมาร์กคือ WorkTitans และ MIRhosting
- Nesterenko ปฏิเสธก่อนถูกจับกุมว่าเขาไม่รู้ว่าเซิร์ฟเวอร์ของตนถูกนำไปใช้ในทางที่ผิดโดยอาชญากรไซเบอร์ฝ่ายนิยมรัสเซีย
- Nesterenko ระบุว่าเมื่อมาตรการคว่ำบาตรของ EU มีผลในเดือนพฤษภาคม 2025 เขาได้ยุติบริการทั้งหมดกับพี่น้อง Neculiti และสงวนสิทธิทั้งหมดในการดำเนินการต่อ “รายงานที่เป็นอันตรายและไม่ถูกต้อง”
- MIRhosting ออก แถลงการณ์ ว่าได้เริ่มการสอบสวนภายในเกี่ยวกับข้อกล่าวหาที่เกี่ยวข้องกับการเลือกตั้งเดนมาร์ก และได้ระงับการให้บริการแก่ WorkTitans ชั่วคราวเพื่อเป็นมาตรการป้องกันระหว่างการตรวจสอบเพิ่มเติม
- MIRhosting ระบุว่าในการตรวจสอบเบื้องต้น ยังไม่พบสัญญาณว่าบริการที่อยู่ภายใต้การควบคุมของบริษัทถูกใช้จริงเพื่อมีอิทธิพลต่อการเลือกตั้งเดนมาร์ก
- บริษัทอ้างว่าไม่พบความผิดปกติหรือการพุ่งขึ้นของทราฟฟิกเครือข่ายในช่วงเวลาดังกล่าว และหากมีการโจมตี DDoS ขนาดใหญ่จริง กิจกรรมเช่นนั้นควรจะปรากฏให้เห็น
- MIRhosting ระบุว่าก่อนมีรายงานของสื่อ บริษัทไม่เคยได้รับคำร้องเรียน รายงาน abuse หรือคำขออย่างเป็นทางการใด ๆ เกี่ยวกับกิจกรรมต้องสงสัยหรือการใช้เครือข่ายในทางที่ผิด และบริการสำหรับลูกค้ารายอื่นยังคงดำเนินการตามปกติ
ประวัติของ Andrey Nesterenko และ MIRhosting
- Andrey Nesterenko ก่อตั้งบริษัทแม่ของ MIRhosting คือ Innovation IT Solutions Corp. ในปี 2004
- Innovation IT Solutions Corp. ถูกกล่าวถึงว่าเป็นบริษัทที่โฮสต์เว็บไซต์แฮ็กติวิสต์ stopgeorgia[.]ru ซึ่งปรากฏขึ้นในช่วงที่กองทัพรัสเซียบุกจอร์เจียในปี 2008
- มีการอธิบายว่า stopgeorgia[.]ru เป็นเว็บไซต์ที่ใช้จัดการโจมตีทางไซเบอร์ต่อจอร์เจีย และความขัดแย้งครั้งนั้นถือเป็นสงครามครั้งแรกที่มีทั้งการโจมตีทางไซเบอร์อย่างเด่นชัดและการปะทะทางทหารจริงเกิดขึ้นพร้อมกัน
- ในอีเมลตอบกลับ Nesterenko ระบุว่า MIRhosting ไม่ได้สนับสนุนอาชญากรรมไซเบอร์ การหลบเลี่ยงมาตรการคว่ำบาตร หรือกิจกรรมผิดกฎหมาย และข้อกล่าวหาและการจับกุมของทางการเนเธอร์แลนด์ส่งผลเสียอย่างรุนแรงต่อเขาและบริษัท
- Nesterenko อ้างว่าการย้ายไปยัง the[.]hosting ไม่ได้มีเป้าหมายเพื่อหลบเลี่ยงมาตรการคว่ำบาตร และฮาร์ดแวร์กับพอร์ตโฟลิโอลูกค้าได้ถูกโอนไปยัง WorkTitans ก่อนหน้าที่มาตรการคว่ำบาตรจะเกิดขึ้นแล้ว
- Nesterenko ระบุว่าการปิดหรือทำลายบริษัทโครงสร้างพื้นฐานของเนเธอร์แลนด์ที่ดำเนินการอย่างถูกกฎหมายจะไม่สามารถหยุดอาชญากรรมไซเบอร์ได้ และจะสร้างความเสียหายแก่ผู้คนจำนวนมากที่ไม่ได้ทำผิดอะไร
บทบาทของ Youssef Zinad
- มีข้อมูลสาธารณะเกี่ยวกับ Youssef Zinad น้อยกว่ามาก และมีรายงานว่าเขารักษาโปรไฟล์ต่ำมาตั้งแต่หลังรายงานในปี 2025
- Nesterenko อ้างว่า Zinad ไม่ใช่พนักงานของ MIRhosting แต่ช่วยเขาและ MIRhosting ในงานธุรกิจบางอย่างภายใต้ สัญญา B2B ตามปกติระหว่างบริษัท
- อย่างไรก็ตาม ในอีเมลที่เคยส่งถึง KrebsOnSecurity ก่อนหน้านี้ Nesterenko ได้ใส่ Zinad ซึ่งใช้อีเมล @mirhosting.com ไว้เป็นผู้รับร่วม และอธิบายว่าเขาเป็นส่วนหนึ่งของทีมกฎหมายของบริษัท
- เว็บไซต์ดัตช์ stagemarkt[.]nl ระบุ Youssef Zinad เป็นผู้ติดต่ออย่างเป็นทางการของสำนักงาน MIRhosting ใน Almere
- de Volkskrant รายงานว่า Zinad ได้บล็อกการเข้าถึงบัญชี LinkedIn ของตน ไม่ตอบอีเมล WhatsApp หรือโทรศัพท์เป็นเวลาหลายเดือน ก่อนจะถูกจับกุมในภายหลังที่บ้านพักแห่งหนึ่งในอัมสเตอร์ดัม
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ควรชี้ให้เห็นว่าบริษัทเหล่านี้แทบจะเรียกว่าเป็น บริษัทโฮสติ้งที่ถูกกฎหมาย ไม่ได้ เรื่องนี้ไม่ใช่แค่ระดับเซิร์ฟเวอร์ต่างประเทศที่ไม่ทำ KYC จนน่ากังวล แต่ใกล้เคียงกับบริษัทบังหน้าของหน่วยข่าวกรองรัสเซียที่ถือครองโดยเจ้าหน้าที่ข่าวกรองรัสเซียมากกว่า ไม่มีธุรกิจอื่น และต่อให้คนทั่วไปต้องการก็คงไม่ได้รับบริการโฮสติ้ง
ในเยอรมนี เคยมีคนสมัครใช้ผู้ให้บริการอีเมล (pissmail) แล้วส่งสแปม จนผู้ให้บริการนั้นต้องติดคุก และผลกระทบจากเรื่องนั้นทำให้ฉันเสียบัญชีโซเชียลมีเดียไปหลายบัญชี
แม้ข้อกำหนดจะไม่ได้เยอะ แต่ถึงขั้นแบนผู้ใช้สะเปะสะปะเพียงเพราะใช้ทอร์เรนต์ จึงไม่ใช่โฮสติ้งกันกระสุนในระดับที่มีความหมายอะไรนัก มีโอกาสสูงที่จะพัวพันกับเรื่องน่าสงสัย และคุณภาพ IP ก็แย่มาก แต่ก็ให้บริการปกติจริง
ตลอดการทำงานด้านความปลอดภัย ฉันอยู่ใน ฝั่งผู้ป้องกัน มาโดยตลอด
ผมรู้ว่าในบางตลาด อาชญากรรมทำเงินได้มากกว่างานที่ถูกกฎหมาย แต่ก็ยังประหลาดใจเสมอว่าการให้บริการโครงสร้างพื้นฐานไอทีแก่เหล่าอาชญากรไซเบอร์ต้องใช้ความคิด ความพยายาม การวางแผน และวิศวกรรมมากขนาดนั้น คนที่เกี่ยวข้องมีความสามารถพอจะหาเงินจากงานถูกกฎหมายได้สบาย ๆ แต่กลับเลือกเส้นทางที่สนับสนุนอาชญากร ซึ่งผมไม่ค่อยเข้าใจ
เท่าที่ฉันเข้าใจ เขาน่าจะสนุกกับ ความตื่นเต้นจากความรู้สึกเหนือกว่า จากการเลี่ยงกฎหมาย เอาเปรียบคนที่เขามองว่าโง่ และหาเงินไปพร้อมกัน
พอมองย้อนกลับไป เขาถูกจับเพราะความผิดพลาดที่โง่มาก ดูเหมือนว่าเขาจะเชื่อมั่นในความเหนือกว่าทางสติปัญญาของตัวเองและความโง่ของคนอื่นมากเกินไป จนสุดท้ายคิดว่าไม่มีใครจับเขาได้
สหรัฐฯ เป็นตลาดที่ค่อนข้างผิดปกติเพราะเงินเดือนสายเทคสูง และงานปฏิบัติการล้วน ๆ แบบนี้ก็ยังถือว่าอยู่ฝั่งล่างของเงินเดือนสูงเหล่านั้น ถ้าเป็นประเทศที่เงินเดือนผู้ดูแลระบบโดยเฉลี่ยต่ำกว่านี้มาก เช่น ในยุโรปตะวันออกที่อยู่ราว ๆ 30,000–35,000 ดอลลาร์ต่อปี ก็ไม่ยากที่จะเข้าใจว่าทำไมฝั่งอาชญากรรมไซเบอร์ถึงดูยั่วยวน
เป็นสภาพแวดล้อมที่ไม่มีข้อยกเว้นแบบที่ชอบพูดกันว่า “เราทำ zero trust นะ แต่ control plane ทั้งหมดอยู่บน Azure ก็เลยช่วยไม่ได้”
ที่จริงแล้ว ดูจะถูกต้องกว่าว่าหลายกลุ่มอาชญากรรมไซเบอร์หาโฮสติ้งที่ยอมรับพวกเขาไม่ได้ จึงต้องลงแรงอย่างหนักเพื่อสร้าง โครงสร้างพื้นฐานไอทีฝั่งแบ็กเอนด์ ขึ้นมาเอง แล้วจากนั้นจึงแตกแขนงไปได้หลายทาง
อย่างแรก พวกเขาตระหนักว่าความต้องการของตัวเองสะท้อนถึงอุปสงค์ทั่วไปที่ยังไม่ได้รับการตอบสนองสำหรับโฮสติ้งแบบ “ไม่ถามไม่พูด” จึงเริ่มทำโฮสติ้งเป็นงานเสริม
อย่างที่สอง ในกรณีอย่างการจดทะเบียน ASN พวกเขาเห็นว่ายิ่งทำฉากหน้าของบริษัทโฮสติ้งปลอมให้ดูน่าเชื่อถือ ก็ยิ่งเป็นเกราะกำบัง จึงแปะหน้าเว็บโฮสติ้งที่ไม่มีทั้งลูกค้าจริงและ control plane แบบลวก ๆ
อย่างที่สาม หากมีลูกค้าจริงที่ส่งทราฟฟิกถูกกฎหมายออกมาจาก ASN ก็จะดูชอบธรรมขึ้น และทำให้ ASN อื่นลังเลที่จะบล็อกทั้งก้อน ดังนั้นพวกเขาจึงไปตั้งระบบจริงในเซิร์ฟเวอร์โทรม ๆ สักเครื่องที่ไหนสักแห่ง ด้วยอุปกรณ์ระดับผู้ให้บริการ VPS ทั่วไป ซึ่งมักจะเป็นอุปกรณ์ IaaS แบบครบชุดที่เก่าและหยาบ ซื้อจากตลาดอาชญากรรมไซเบอร์ มากกว่าจะเป็น OpenStack
อย่างที่สี่ ซึ่งดูเหมือนจะเป็นเส้นทางที่พบบ่อยที่สุด คือหลังจากคุยกับเพื่อนอาชญากรไซเบอร์แล้ว อีกฝ่ายก็ขอว่า “ไหน ๆ พวกนายสร้างอะไรขึ้นมาเองแล้ว ก็ช่วยโฮสต์ให้พวกเราด้วยสิ” แล้วมันก็ค่อย ๆ พัฒนาเป็นแผนกโฮสติ้งโดยพฤตินัย เมื่อรับลูกค้าแบบต้องดูแลใกล้ชิดที่มาจากการบอกต่อมากขึ้น ภาระการตั้งค่าด้วยมือก็หนักขึ้น จนสุดท้ายต้องเริ่มทำระบบอัตโนมัติ
ตอนที่กำลังเรียนรู้โฮมแล็บและตั้งค่า pfSense ฉันสามารถดูได้ว่าการสแกนและการโจมตีที่เข้ามายัง IP อินเทอร์เน็ตบ้านของฉันมาจากภูมิภาคไหน ฉันแปลกใจที่เนเธอร์แลนด์มีเยอะพอ ๆ กับรัสเซียและจีน เลยบล็อกทั้งภูมิภาคไปหมด
สงสัยว่าทำไมเนเธอร์แลนด์ถึงดึงดูดคนพวกนี้นัก
ถ้าอยากรู้จักดาต้าเซ็นเตอร์ชื่อฉาว ลองดู CyberBunker ได้ น่าสนใจในเชิงแนวคิด และอันนี้ก็อยู่ในเนเธอร์แลนด์เช่นกัน
https://en.wikipedia.org/wiki/CyberBunker
ตรงที่บอกว่า “มาตรการคว่ำบาตรไม่สามารถเล่นงานการเชื่อมต่ออินเทอร์เน็ตที่เหลืออยู่ของ Stark ได้ ซึ่งก็คือผู้ให้บริการอินเทอร์เน็ต MIRhosting ที่ตั้งอยู่ในเนเธอร์แลนด์” นี่ชวนอึ้งมาก ฉันเดินผ่านออฟฟิศ mirhosting ทุกวัน
อยากให้เปิดเผยชื่อและตั้งข้อหาคนที่จ่ายเงินให้ทำการโจมตีด้วย