Hollanda makamları, Avrupa Birliği içinde Rusya tarafından yürütülen siber saldırıları, etki operasyonlarını ve dezenformasyon kampanyalarını destekleyen iki internet barındırma şirketinin ortak sahiplerini tutukladı. Operasyon, Hollanda Mali Suçları Soruşturma Dairesi (FIOD) tarafından 18 Mayıs 2025'te gerçekleştirildi. 57 yaşındaki Amsterdamlı ve 39 yaşındaki Laheyli iki şüpheli, AB yaptırım uygulanan kuruluşlara doğrudan veya dolaylı olarak ekonomik kaynak sağlayarak yaptırım yasalarını ihlal etmekle suçlanıyor. Yetkililer, Enschede ve Almere'deki üç işletme ile Dronten ve Schiphol-Rijk'teki iki veri merkezinde arama yaparken, dizüstü bilgisayarlar, telefonlar ve 800'den fazla sunucuya el koydu.
Soruşturmanın merkezinde, Rusya'nın Ukrayna'yı işgalinden sadece iki hafta önce ortaya çıkan devasa bir hosting sağlayıcısı olan Stark Industries yer alıyor. Mayıs 2024'te yayımlanan kapsamlı bir analizde, Stark'ın Avrupa hedeflerine karşı büyük çaplı DDoS saldırılarının kaynağı haline geldiği ve Rusya bağlantılı hacker gruplarının siber saldırılarında sürekli görülen proxy ve anonimlik hizmetlerinin önde gelen tedarikçisi olduğu ortaya konmuştu. Stark, internet bağlantısını iki ana kanal üzerinden sağlıyordu: biri Moldovalı Neculiti kardeşlerin PQHosting şirketi, diğeri ise Hollanda merkezli MIRhosting.
Mayıs 2025'te AB, PQHosting ve Neculiti kardeşlere yaptırım uyguladı. Ancak Eylül 2025'te KrebsOnSecurity'in haberine göre bu yaptırımlar, Stark'ın internete kalan bağlantısını hedef almamıştı: Hollanda merkezli MIRhosting. MIRhosting, Rus asıllı 39 yaşındaki Andrey Nesterenko tarafından işletiliyordu. Yaptırımların duyulmasından iki hafta önce, Stark'ın ağ varlıkları PQHosting'den WorkTitans BV kontrolündeki the.hosting'e devredilmişti. WorkTitans, Nesterenko ve 57 yaşındaki Amsterdamlı Youssef Zinad tarafından yönetiliyordu ve internet bağlantısını tamamen MIRhosting üzerinden sağlıyordu.
De Volkskrant gazetesinin incelediği verilere göre, WorkTitans ve MIRhosting, 13-19 Kasım 2025 tarihleri arasında Danimarka belediye seçimleri haftasında Danimarka devlet kurumlarına yönelik Rus yanlısı saldırılarda en çok kullanılan ağlardı. Tutuklanmadan önce Nesterenko, sunucularının Rus yanlısı siber suçlular tarafından kötüye kullanıldığını bilmediğini iddia etmişti. MIRhosting açıklamasında, Danimarka seçimlerine müdahale iddialarıyla ilgili iç soruşturma başlattığını ve WorkTitans'a hizmetleri geçici olarak durdurduğunu duyurdu. Şirket, ağ trafiğinde anormallik veya yoğunluk tespit edilmediğini ve herhangi bir şikayet almadıklarını belirtti.
Nesterenko'nun geçmişi dikkat çekici: Nizhny Novgorod doğumlu olan Nesterenko, genç yaşta performans sergileyen bir piyano dahisiydi. 2004 yılında MIRhosting'in ana şirketi Innovation IT Solutions Corp.'u kurdu. Bu şirket, 2008'de Rusya'nın Gürcistan'ı işgali sırasında ortaya çıkan ve Gürcistan'a karşı siber saldırıları organize eden hacktivist sitesi stopgeorgia.ru'ya ev sahipliği yapmasıyla biliniyor. Bu çatışma, siber saldırı ve askeri harekatın eş zamanlı gerçekleştiği ilk savaş olarak tarihe geçti.
Nesterenko, e-posta yoluyla yaptığı açıklamada, MIRhosting'in siber suç, yaptırımlardan kaçınma veya yasa dışı faaliyetleri desteklemediğini savundu. 'the.hosting'e geçiş yaptırımlardan kaçmak amaçlı değildi; donanım ve müşteri portföyü yaptırımlardan önce WorkTitans'a devredilmişti. Meşru bir Hollanda altyapı şirketini kapatmak siber suçu durdurmayacak, ancak suçu olmayan birçok kişiye zarar verecektir' dedi. Diğer şüpheli Zinad hakkında ise daha az bilgi mevcut; geçen yılki haberden bu yana düşük profilli yaşamayı tercih ettiği ve hastalık nedeniyle münzevi bir hayat sürdüğü belirtiliyor.
Kaynak: krebsonsecurity.com